Procedură : 2012/0011(COD)
Stadiile documentului în şedinţă
Stadii ale documentului : A7-0402/2013

Texte depuse :

A7-0402/2013

Dezbateri :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Voturi :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5

Texte adoptate :

P7_TA(2014)0212

RAPORT     ***I
PDF 3519kWORD 4931k
22 noiembrie 2013
PE 501.927v05-00 A7-0402/2013

referitor la propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Comisia pentru libertăți civile, justiție și afaceri interne

Raportor: Jan Philipp Albrecht

AMENDAMENTE
PROIECT DE REZOLUȚIE LEGISLATIVĂ A PARLAMENTULUI EUROPEAN
 EXPUNERE DE MOTIVE
 AVIZ al Comisiei pentru ocuparea forței de muncă și afaceri sociale
 AVIZ al Comisiei pentru industrie, cercetare și energie
 AVIZ al Comisiei pentru piața internă și protecția consumatorilor
 AVIZ al Comisiei pentru afaceri juridice
 PROCEDURĂ

PROIECT DE REZOLUȚIE LEGISLATIVĂ A PARLAMENTULUI EUROPEAN

referitoare la propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

(Procedura legislativă ordinară: prima lectură)

Parlamentul European,

–   având în vedere propunerea Comisiei prezentată Parlamentului și Consiliului (COM(2012)0011),

–   având în vedere articolul 294 alineatul (2), articolul 16 alineatul (2) și articolul 114 alineatul (1) din Tratatul privind funcționarea Uniunii Europene, în temeiul cărora propunerea a fost prezentată de către Comisie (C7-0025/2012),

–   având în vedere articolul 294 alineatul (3) din Tratatul privind funcționarea Uniunii Europene,

–   având în vedere avizele motivate prezentate de către Camera Reprezentanților din Belgia, Bundesratul Germaniei, Senatul Franței, Camera deputaților din Italia și Parlamentul Suediei în cadrul Protocolului nr. 2 privind aplicarea principiilor subsidiarității și proporționalității, în care se susține că proiectul de act legislativ nu respectă principiul subsidiarității,

–   având în vedere avizul Comitetului Economic și Social European din 23 mai 2012(1),

–   după consultarea Comitetului Regiunilor,

–   având în vedere avizul Autorității Europene pentru Protecția Datelor din 7 martie 2012,

–   având în vedere avizul Agenției pentru Drepturi Fundamentale a Uniunii Europene din 1 octombrie 2012,

–   având în vedere articolul 55 din Regulamentul său de procedură,

–   având în vedere raportul Comisiei pentru libertăți civile, justiție și afaceri interne și avizele Comisiei pentru ocuparea forței de muncă și afaceri sociale, Comisiei pentru industrie, cercetare și energie, Comisiei pentru piața internă și protecția consumatorilor și Comisiei pentru afaceri juridice (A7-0402/2013),

1.  adoptă poziția în primă lectură prezentată în continuare;

2.  solicită Comisiei să îl sesizeze din nou în cazul în care intenționează să modifice în mod substanțial propunerea sau să o înlocuiască cu un alt text;

3.  încredințează Președintelui sarcina de a transmite Consiliului și Comisiei, precum și parlamentelor naționale poziția Parlamentului.

Amendamentul          1

Propunere de regulament

Considerentul 14

Textul propus de Comisie

Amendamentul

(14) Prezentul regulament nu se referă nici la chestiuni de protecție a drepturilor și libertăților fundamentale, nici la libera circulație a datelor referitoare la activități care nu intră în domeniul de aplicare a dreptului Uniunii, nici la prelucrarea datelor cu caracter personal de către instituțiile, organismele, oficiile și agențiile Uniunii, care fac obiectul Regulamentului (CE) nr. 45/200144, și nici la prelucrarea datelor cu caracter personal de către statele membre atunci când desfășoară activități legate de politica externă și de securitate comună a Uniunii.

(14) Prezentul regulament nu se referă nici la chestiuni de protecție a drepturilor și libertăților fundamentale și nici la libera circulație a datelor referitoare la activități care nu intră în domeniul de aplicare a dreptului Uniunii. Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului1 ar trebui adaptat la prezentul regulament și aplicat în conformitate cu prezentul regulament.

____________

______________

44 JO L 8, 12.1.2001, p. 1.

1 Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO L 8, 12.1.2001, p.1).

Amendamentul  2

Propunere de regulament

Considerentul 15

Textul propus de Comisie

Amendamentul

(15) Prezentul regulament nu ar trebui să se aplice prelucrării datelor cu caracter personal de către o persoană fizică, care sunt exclusiv personale sau casnice, cum ar fi corespondența și repertoriul de adrese, fără niciun scop lucrativ și, prin urmare, fără nicio legătură cu o activitate profesională sau comercială. Exceptarea ar trebui, de asemenea, nu se aplice operatorilor sau persoanelor împuternicite de către operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități personale sau casnice.

(15) Prezentul regulament nu ar trebui să se aplice prelucrării datelor cu caracter personal de către o persoană fizică, care sunt exclusiv personale, familiale sau casnice, cum ar fi corespondența și repertoriul de adrese sau vânzarea directă și fără nicio legătură cu o activitate profesională sau comercială. Cu toate acestea, prezentul regulament ar trebui să se aplice operatorilor și persoanelor împuternicite de către operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități personale sau domestice.

Amendamentul  3

Propunere de regulament

Considerentul 18

Textul propus de Comisie

Amendamentul

(18) Prezentul regulament permite luarea în considerare a principiului accesului publicului la documente oficiale, în aplicarea dispozițiilor prevăzute de acesta.

(18) Prezentul regulament permite luarea în considerare a principiului accesului publicului la documente oficiale, în aplicarea dispozițiilor prevăzute de acesta. Datele cu caracter personal din documentele deținute de către o autoritate publică sau un organism public pot fi divulgate de respectiva autoritate sau de respectivul organism în conformitate cu dreptul Uniunii sau legislația statelor membre privind accesul public la documentele oficiale, care conciliază dreptul la protecția datelor cu caracter personal cu dreptul publicului de acces la documentele oficiale și servește în mod echitabil diversele interese în joc.

Amendamentul  4

Propunere de regulament

Considerentul 20

Textul propus de Comisie

Amendamentul

(20) Pentru a se asigura că persoanele fizice nu sunt lipsite de protecția la care au dreptul în temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care își au reședința în Uniune de către un operator care nu este stabilit în Uniune ar trebui să facă obiectul prezentului regulament în cazul în care activitățile de prelucrare au legătură cu oferirea de bunuri sau servicii unor astfel de persoane vizate sau cu monitorizarea comportamentului acestor persoane vizate.

(20) Pentru a se asigura că persoanele fizice nu sunt lipsite de protecția la care au dreptul în temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care își au reședința în Uniune de către un operator care nu este stabilit în Uniune ar trebui să facă obiectul prezentului regulament în cazul în care activitățile de prelucrare au legătură cu oferirea de bunuri sau servicii, indiferent dacă sunt sau nu cu plată, unor astfel de persoane vizate sau cu monitorizarea acestor persoane vizate. Pentru a determina dacă un astfel de operator oferă bunuri sau servicii unor astfel de persoane vizate în Uniune, ar trebui să se stabilească dacă reiese că operatorul intenționează să furnizeze servicii persoanelor vizate care își au reședința în unul sau mai multe state membre din Uniune.

Amendamentul  5

Propunere de regulament

Considerentul 21

Textul propus de Comisie

Amendamentul

(21) Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca „monitorizare a comportamentului” persoanelor vizate, ar trebui să se analizeze dacă persoanele fizice sunt urmărite pe internet cu tehnici de prelucrare a datelor care constau în aplicarea unui „profil” unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferințele personale, comportamentele și atitudinile acesteia.

(21) Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca „monitorizare” a persoanelor vizate, ar trebui să se analizeze dacă persoanele fizice sunt urmărite, indiferent de sursa datelor, sau dacă alte date referitoare la aceste persoane sunt colectate, inclusiv din registre și anunțuri publice din Uniune care sunt accesibile din afara Uniunii, inclusiv cu intenția de a utiliza sau în vederea unei eventuale utilizări ulterioare a unor tehnici de prelucrare a datelor care constau în aplicarea unui „profil”, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferințele personale, comportamentele și atitudinile acesteia.

Amendamentul  6

Propunere de regulament

Considerentul 23

Textul propus de Comisie

Amendamentul

(23) Principiile protecției ar trebui să se aplice oricărei informații referitoare la o persoană identificată sau identificabilă. Pentru a se determina dacă o persoană este identificabilă, ar trebui să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de către operator, fie de către orice altă persoană în scopul identificării persoanei fizice respective. Principiile protecției datelor nu ar trebui să se aplice datelor anonimizate astfel încât persoana vizată să nu mai fie identificabilă.

(23) Principiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată sau identificabilă. Pentru a se determina dacă o persoană este identificabilă, ar trebui să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de operator, fie de orice altă persoană în scopul identificării sau scoaterii în evidență a persoanei fizice respective, în mod direct sau indirect. Pentru a determina ce mijloace este posibil, în mod rezonabil, să fie utilizate pentru identificarea persoanei, ar trebui luați în considerare toți factorii obiectivi, precum costurile și intervalul de timp necesare pentru identificare, ținându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică. Principiile protecției datelor nu ar trebui astfel să se aplice datelor anonime, care reprezintă informații care nu se referă la o persoană fizică identificată sau identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de date anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau pentru cercetare.

Amendamentul  7

Propunere de regulament

Considerentul 24

Textul propus de Comisie

Amendamentul

(24) Atunci când utilizează servicii online, persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP sau identificatorii cookie. Aceștia pot lăsa urme care, combinate cu identificatorii unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor. Prin urmare, numerele de identificare, datele de localizare, identificatorii online sau alți factori specifici nu trebuie neapărat să fie considerați ca atare date cu caracter personal în toate circumstanțele.

(24) Prezentul regulament ar trebui să se aplice operațiunile de prelucrare care implică identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP sau identificatorii cookie sau etichetele de identificare prin frecvențe radio, cu excepția cazului în care acești identificatori nu se referă la o persoană fizică identificată sau identificabilă.

Amendamentul  8

Propunere de regulament

Considerentul 25

Textul propus de Comisie

Amendamentul

(25) Consimțământul ar trebui acordat în mod explicit prin orice metodă corespunzătoare care permite manifestarea liberă, specifică și informată a voinței persoanei vizate, fie printr-o declarație sau printr-un act neechivoc al acesteia, asigurându-se că persoana fizică este conștientă de faptul că își dă consimțământul pentru prelucrarea datelor cu caracter personal, inclusiv prin bifarea unei căsuțe atunci când vizitează un site internet sau prin orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns sau a unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri electronice, aceasta trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul.

(25) Consimțământul ar trebui acordat în mod explicit prin orice metodă corespunzătoare care permite manifestarea liberă, specifică și informată a voinței persoanei vizate, fie printr-o declarație sau printr-un act neechivoc care este rezultatul alegerii făcute de aceasta, asigurându-se că persoana fizică este conștientă de faptul că își dă consimțământul pentru prelucrarea datelor cu caracter personal. Actul neechivoc ar putea include bifarea unei căsuțe atunci când persoana vizitează un site internet sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns, simpla utilizare a unui serviciu sau a unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri electronice, aceasta trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul.

Amendamentul  9

Propunere de regulament

Considerentul 29

Textul propus de Comisie

Amendamentul

(29) Copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. Pentru a se determina condițiile în care o persoană fizică este minor, prezentul regulament ar trebui să preia definiția stabilită în Convenția Organizației Națiunilor Unite privind drepturile copilului.

(29) Copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. Atunci când prelucrarea datelor se bazează pe exprimarea consimțământului de către persoana vizată cu privire la oferirea de bunuri sau servicii în mod direct unui minor, consimțământul ar trebui să fie acordat de părintele sau tutorele acestuia în cazul minorilor cu vârsta sub 13 ani. Atunci când publicul vizat este constituit din copii, ar trebui utilizat un limbaj adecvat vârstei. Alte motive pentru legalitatea prelucrării, precum motive de interes public ar trebui să rămână aplicabile, ca, de exemplu, prelucrarea în contextul serviciilor de prevenire sau consiliere oferite direct copiilor.

Amendamentul  10

Propunere de regulament

Considerentul 31

Textul propus de Comisie

Amendamentul

(31) Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe baza consimțământului persoanei în cauză sau în temeiul unui alt motiv legitim, prevăzut de lege, fie în prezentul regulament, fie în alt act legislativ al Uniunii sau al statului membru la care se face referire în prezentul regulament.

(31) Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe baza consimțământului persoanei în cauză sau în temeiul unui alt motiv legitim, prevăzut de lege, fie în prezentul regulament, fie în alt act legislativ al Uniunii sau al statului membru la care se face referire în prezentul regulament. În cazul unui minor sau al unei persoane lipsite de capacitate juridică, legislația aplicabilă a Uniunii sau a statutului membru ar trebui să determine condițiile în care consimțământul este exprimat sau autorizat de persoana respectivă.

Amendamentul  11

Propunere de regulament

Considerentul 32

Textul propus de Comisie

Amendamentul

(32) În cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, sarcina probei cu privire la faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare îi revine operatorului. În special, în contextul unei declarații scrise cu privire la un alt aspect, garanțiile ar trebui să asigure că persoana vizată este conștientă de faptul că și-a dat consimțământul și în ce măsură a făcut acest lucru.

(32) În cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, sarcina probei cu privire la faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare îi revine operatorului. În special, în contextul unei declarații scrise cu privire la un alt aspect, garanțiile ar trebui să asigure că persoana vizată este conștientă de faptul că și-a dat consimțământul și în ce măsură a făcut acest lucru. În vederea respectării principiului de reducere la minimum a datelor, sarcina probei nu ar trebui să presupună identificarea pozitivă a persoanelor vizate, decât dacă acest lucru este necesar. La fel ca dispozițiile de drept civil (Directiva 93/13/CEE1), politicile privind protecția datelor ar trebui să fie cât mai clare și mai transparente posibil. Acestea nu ar trebui să conțină clauze ascunse sau dezavantajoase. Nu poate fi acordat consimțământul pentru prelucrarea datelor cu caracter personal ale unor terțe persoane.

 

1 Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiate cu consumatorii (JO L 95, 21.4.1993, p. 29).

Amendamentul  12

Propunere de regulament

Considerentul 33

Textul propus de Comisie

Amendamentul

(33) Pentru a se asigura consimțământul liber, ar trebui să se precizeze că un consimțământ nu constituie un temei juridic valabil în cazul în care persoana fizică nu dispune cu adevărat de libertatea de a alegere și ulterior nu poate să refuze sau să își retragă consimțământul fără a fi prejudiciată.

(33) Pentru a se asigura consimțământul liber, ar trebui să se precizeze că un consimțământ nu constituie un temei juridic valabil în cazul în care persoana fizică nu dispune cu adevărat de libertatea de a alegere și ulterior nu poate să refuze sau să își retragă consimțământul fără a fi prejudiciată. Aceasta se aplică, în special, în cazul în care operatorul este o autoritate publică care poate impune o obligație în virtutea competențelor sale publice relevante, iar consimțământul nu poate fi considerat ca fiind acordat în mod liber. Utilizarea unor opțiuni automate pe care persoana vizată trebuie să le modifice pentru a se opune prelucrării datelor, cum ar fi căsuțele pre-marcate, nu exprimă liberul consimțământ. Consimțământul pentru prelucrarea unor date cu caracter personal suplimentare, care nu sunt necesare pentru furnizarea unui serviciu, nu ar trebui solicitate pentru utilizarea serviciului respectiv. Atunci când consimțământul este retras se poate permite terminarea sau neexecutarea unui serviciu care depinde de datele respective. Atunci când atingerea scopului urmărit este neclară, operatorul ar trebui să ofere periodic persoanei vizate informații cu privire la prelucrare și cererea de reafirmare a consimțământului.

Amendamentul  13

Propunere de regulament

Considerentul 34

Textul propus de Comisie

Amendamentul

(34) Consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul în care există un dezechilibru evident între persoana vizată și operator. Acest lucru este valabil, în special, atunci când persoana vizată se află într-o situație de dependență în raport cu operatorul, printre altele, în cazul în care datele cu caracter personal ale angajaților sunt prelucrate de către angajator în contextul ocupării unui loc de muncă. În cazul în care operatorul este o autoritate publică, nu ar exista un dezechilibru decât în ceea ce privește operațiuni specifice de prelucrare a datelor în cadrul cărora autoritatea publică poate impune o obligație în temeiul competențelor sale publice relevante, iar consimțământul nu poate fi considerat ca fiind acordat în mod liber, ținându-se cont de interesul persoanei vizate.

eliminat

Amendamentul  14

Propunere de regulament

Considerentul 36

Textul propus de Comisie

Amendamentul

(36) În cazul în care prelucrarea este efectuată în conformitate cu o obligație legală a operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public sau în exercitarea autorității publice, prelucrarea ar trebui să aibă un temei juridic în dreptul Uniunii sau în legislația unui stat membru care îndeplinește cerințele prevăzute de Carta drepturilor fundamentale a Uniunii Europene, pentru orice limitare a drepturilor și libertăților. De asemenea, este de competența dreptului Uniunii sau a legislației naționale să determine dacă operatorul care îndeplinește o sarcină de interes public sau în exercitarea autorității publice ar trebui să fie o administrație publică sau altă persoană fizică sau juridică de drept public sau privat, cum ar fi o asociație profesională.

(36) În cazul în care prelucrarea este efectuată în conformitate cu o obligație legală a operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public sau în exercitarea autorității publice, prelucrarea ar trebui să aibă un temei juridic în dreptul Uniunii sau în legislația unui stat membru care îndeplinește cerințele prevăzute de Carta drepturilor fundamentale a Uniunii Europene, pentru orice limitare a drepturilor și libertăților. Acest lucru ar trebui să se aplice, de asemenea, acordurilor colective care pot fi recunoscute în temeiul legislației naționale ca având validitate generală. De asemenea, este de competența dreptului Uniunii sau a legislației naționale să determine dacă operatorul care îndeplinește o sarcină de interes public sau în exercitarea autorității publice ar trebui să fie o administrație publică sau altă persoană fizică sau juridică de drept public sau privat, cum ar fi o asociație profesională.

Amendamentul  15

Propunere de regulament

Considerentul 38

Textul propus de Comisie

Amendamentul

(38) Interesele legitime ale unui operator pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate. Aceasta ar necesita o evaluare atentă, în special în cazul în care persoana vizată este un minor, întrucât minorii necesită o protecție specifică. Persoana vizată ar trebui să aibă dreptul gratuit la opoziție în ceea ce privește prelucrarea, din motive legate de situația sa particulară. Pentru a se asigura transparența, operatorul ar trebui să aibă obligația de a informa în mod explicit persoana vizată cu privire la interesele legitime urmărite și dreptul la opoziție și, de asemenea, ar trebui să aibă obligația de a documenta aceste interese legitime. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor de către autoritățile publice, acest temei juridic nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin.

(38) Interesele legitime ale operatorului sau, în cazul divulgării, ale părții terțe ale cărei date sunt divulgate, pot constitui un temei juridic pentru prelucrare, cu condiția să răspundă așteptărilor rezonabile ale persoanei vizate în baza raportului acesteia cu operatorul și să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate. Aceasta ar necesita o evaluare atentă, în special în cazul în care persoana vizată este un minor, întrucât minorii necesită o protecție specifică. Ar trebui considerat că prelucrarea de date pseudonime îndeplinește așteptările rezonabile ale persoanei vizate în baza raportului acesteia cu operatorul, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate. Persoana vizată ar trebui să aibă dreptul gratuit la opoziție în ceea ce privește prelucrarea. Pentru a se asigura transparența, operatorul ar trebui să aibă obligația de a informa în mod explicit persoana vizată cu privire la interesele legitime urmărite și dreptul la opoziție și, de asemenea, ar trebui să aibă obligația de a documenta aceste interese legitime. Interesele sau drepturile și libertățile fundamentale ale persoanei vizate pot prevala în special în raport cu interesul operatorului de date atunci când datele sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare suplimentară. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor de către autoritățile publice, acest temei juridic nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin.

Amendamentul  16

Propunere de regulament

Considerentul 39

Textul propus de Comisie

Amendamentul

(39) Prelucrarea datelor în măsura strict necesară în scopul asigurării securității rețelelor și a informațiilor, și anume capacitatea unei rețele sau a unui sistem de informații de a face față, la un anumit nivel de încredere, evenimentelor accidentale sau acțiunilor ilegale sau rău intenționate care compromit disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor stocate sau transmise, precum și securitatea serviciilor conexe oferite de aceste rețele și sisteme sau accesibile prin intermediul acestora, de către autoritățile publice, echipele de intervenție în caz de urgență informatică (CERT), echipele de intervenție în cazul producerii unor incidente care afectează securitatea informatică (CSIRT), furnizorii de rețele și servicii de comunicații electronice, precum și de către furnizorii de servicii și tehnologii de securitate, constituie un interes legitim al operatorului de date în cauză. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la rețelele de comunicații electronice și a difuzării de coduri dăunătoare și oprirea atacurilor de „blocare a serviciului”, precum și prevenirea daunelor aduse calculatoarelor și sistemelor de comunicații electronice.

(39) Prelucrarea datelor în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor, și anume capacitatea unei rețele sau a unui sistem de informații de a face față evenimentelor accidentale sau acțiunilor rău intenționate care compromit disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor stocate sau transmise, precum și securitatea serviciilor conexe oferite de aceste rețele și sisteme, de către autoritățile publice, echipele de intervenție în caz de urgență informatică (CERT), echipele de intervenție în cazul producerii unor incidente care afectează securitatea informatică (CSIRT), furnizorii de rețele și servicii de comunicații electronice, precum și de către furnizorii de servicii și tehnologii de securitate, constituie, în anumite cazuri specifice, un interes legitim al operatorului de date în cauză. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la rețelele de comunicații electronice și a difuzării de coduri dăunătoare și oprirea atacurilor de „blocare a serviciului”, precum și prevenirea daunelor aduse calculatoarelor și sistemelor de comunicații electronice. Acest principiu se aplică de asemenea prelucrării de date cu caracter personal în vederea restricționării accesului abuziv la rețele sau sisteme informatice disponibile în mod public, sau a utilizării abuzive a acestora, cum ar fi introducerea pe o listă neagră a unor identificatori electronici.

Amendamentul  17

Propunere de regulament

Considerentul 39 a (nou)

Textul propus de Comisie

Amendamentul

 

(39a) Cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, prevenirea sau limitarea daunelor pentru operatorul de date ar trebui considerate ca fiind realizate în interesul legitim al operatorului de date sau, în cazul divulgării, al unei părți terțe căreia îi sunt divulgate datele, și ca satisfăcând așteptările legitime ale persoanei vizate în baza raportului acesteia cu operatorul. Același principiu se aplică, de asemenea, obținerii drepturilor în instanță în legătură cu o persoană vizată, precum recuperarea unei datorii sau obținerea unor despăgubiri sau reparații.

Amendamentul  18

Propunere de regulament

Considerentul 39 b (nou)

Textul propus de Comisie

Amendamentul

 

(39b) Cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, prelucrare datelor cu caracter personal în scopuri de marketing direct pentru propriile produse și servicii sau pentru produse și servicii similare sau în scopuri marketing direct prin poștă ar trebui considerată ca fiind realizată în interesul legitim al operatorului de date sau, în cazul divulgării, al unei părți terțe căreia îi sunt divulgate datele, și ca satisfăcând așteptările legitime ale persoanei vizate în baza raportului acesteia cu operatorul, dacă informațiile cu privire la dreptul de a se opune sunt în mod evident vizibile și este oferită sursa datelor cu caracter personal. Prelucrarea datelor de contact comerciale ar trebui considerată în general ca fiind realizată în interesul legitim al operatorului de date sau, în cazul divulgării, al unei părți terțe căreia îi sunt divulgate datele, și ca satisfăcând așteptările legitime ale persoanei vizate în baza raportului acesteia cu operatorul. Același lucru se aplică și prelucrării de date făcute în mod evident publice de persoana vizată.

Amendamentul  19

Propunere de regulament

Considerentul 40

Textul propus de Comisie

Amendamentul

(40) Prelucrarea datelor cu caracter personal în alte scopuri ar trebui să fie permisă doar atunci când prelucrarea este compatibilă cu scopurile în care datele au fost inițial colectate, în special în cazul în care prelucrarea este necesară în scopuri de cercetare istorică, statistică sau științifică. În cazul în care celălalt scop nu este compatibil cu scopul inițial în care datele sunt colectate, operatorul ar trebuie să obțină consimțământul persoanei vizate cu privire la acest alt scop sau ar trebui să întemeieze prelucrarea legală pe un alt motiv legitim, în special în cazul în care acest fapt este prevăzut de dreptul Uniunii sau de legislația statului membru care se aplică operatorului. În orice caz, aplicarea principiilor stabilite de prezentul regulament și, în special, informarea persoanei vizate cu privire la aceste alte scopuri ar trebui să fie garantată.

eliminat

Amendamentul  20

Propunere de regulament

Considerentul 41

Textul propus de Comisie

Amendamentul

(41) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile și de vulnerabile în ceea ce privește drepturile fundamentale sau viața privată, necesită o protecție specifică. Astfel de date nu ar trebui să fie prelucrate, cu excepția cazului în care persoana vizată își dă consimțământul explicit. Cu toate acestea, derogări de la interdicția respectivă ar trebui prevăzute în mod explicit în ceea ce privește nevoile specifice, în special atunci când prelucrarea este efectuată în cadrul activităților legitime de către anumite asociații sau fundații al căror scop este de a permite exercitarea libertăților fundamentale.

eliminat

Amendamentul  21

Propunere de regulament

Considerentul 42

Textul propus de Comisie

Amendamentul

(42) Derogarea de la interdicția prelucrării categoriilor de date sensibile ar trebui să fie permisă, de asemenea, în cazul în care este prevăzută de lege, sub rezerva unor garanții corespunzătoare, pentru a se asigura protecția datelor cu caracter personal și a altor drepturi fundamentale, atunci când motive de interes public justifică acest lucru și, în special, în scopuri medicale, inclusiv sănătatea publică, protecția socială și gestionarea serviciilor de asistență medicală, în special în scopul garantării calității și eficienței din punct de vedere al costurilor în ceea ce privește procedurile utilizate pentru soluționarea cererilor de prestații și servicii în sistemul asigurărilor de sănătate sau în scopuri de cercetare istorică, statistică și științifică.

(42) Derogarea de la interdicția prelucrării categoriilor de date sensibile ar trebui să fie permisă, de asemenea, în cazul în care este prevăzută de lege, sub rezerva unor garanții corespunzătoare, pentru a se asigura protecția datelor cu caracter personal și a altor drepturi fundamentale, atunci când motive de interes public justifică acest lucru și, în special, în scopuri medicale, inclusiv sănătatea publică, protecția socială și gestionarea serviciilor de asistență medicală, în special în scopul garantării calității și eficienței din punct de vedere al costurilor în ceea ce privește procedurile utilizate pentru soluționarea cererilor de prestații și servicii în sistemul asigurărilor de sănătate, în scopuri de cercetare istorică, statistică și științifică, sau pentru servicii de arhivare.

 

Amendamentul  22

Propunere de regulament

Considerentul 45

Textul propus de Comisie

Amendamentul

(45) Dacă datele prelucrate de către un operator nu îi permit acestuia să identifice o persoană fizică, operatorul de date nu ar trebui să aibă obligația de a obține informații suplimentare în vederea identificării persoanei vizate, cu unicul scop de a respecta una dintre dispozițiile prezentului regulament. În cazul unei cereri de acces, operatorul ar trebui să aibă dreptul de a solicita persoanei vizate mai multe informații pentru a putea să localizeze datele cu caracter personal pe care le caută persoana respectivă.

(45) Dacă datele prelucrate de către un operator nu îi permit acestuia să identifice o persoană fizică, operatorul de date nu ar trebui să aibă obligația de a obține informații suplimentare în vederea identificării persoanei vizate, cu unicul scop de a respecta una dintre dispozițiile prezentului regulament. În cazul unei cereri de acces, operatorul ar trebui să aibă dreptul de a solicita persoanei vizate mai multe informații pentru a putea să localizeze datele cu caracter personal pe care le caută persoana respectivă. Dacă persoana vizată poate furniza aceste date, operatorii nu ar trebui să fie în măsură să invoce lipsa informațiilor pentru a refuza o cerere de acces.

Amendamentul  23

Propunere de regulament

Considerentul 47

Textul propus de Comisie

Amendamentul

(47) Ar trebui prevăzute modalități de facilitare a exercitării de către persoana vizată a drepturile sale stipulate de prezentul regulament, inclusiv mecanismele de a solicita, în mod gratuit, în special, accesul la date, rectificarea și ștergerea acestora, precum și exercitarea dreptului la opoziție. Operatorul ar trebui să fie aibă obligația de a răspunde cererilor persoanelor vizate într-un termen fix și, în cazul în care nu se conformează cererii persoanei vizate, să motiveze acest refuz.

(47) Ar trebui prevăzute modalități de facilitare a exercitării de către persoana vizată a drepturile sale stipulate de prezentul regulament, inclusiv mecanismele de a obține, în mod gratuit, în special, accesul la date, rectificarea și ștergerea acestora, precum și exercitarea dreptului la opoziție. Operatorul ar trebui să fie aibă obligația de a răspunde cererilor persoanelor vizate într-un termen rezonabil și, în cazul în care nu se conformează cererii persoanei vizate, să motiveze acest refuz.

Amendamentul  24

Propunere de regulament

Considerentul 48

Textul propus de Comisie

Amendamentul

(48) Conform principiilor prelucrării echitabile și transparente, persoana vizată ar trebui să fie informată, în special, cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, durata stocării datelor, existența dreptului de acces, rectificare sau ștergere a datelor și dreptul de a înainta o plângere. Atunci când datele sunt colectate de la persoana vizată, aceasta ar trebui, de asemenea, să fie informată dacă are obligația de a furniza datele și care sunt consecințele în cazul unui refuz.

(48) Conform principiilor prelucrării echitabile și transparente, persoana vizată ar trebui să fie informată, în special, cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, durata probabilă a stocării datelor în fiecare scop, dacă datele urmează să fie transferate unor părți terțe sau unor țări terțe, existența măsurilor pentru a se opune și a dreptului de acces, rectificare sau ștergere a datelor și dreptul de a înainta o plângere. Atunci când datele sunt colectate de la persoana vizată, aceasta ar trebui, de asemenea, să fie informată dacă are obligația de a furniza datele și care sunt consecințele în cazul unui refuz. Aceste informații ar trebui furnizate, ceea ce poate să însemne de asemenea că vor fi rapid disponibile, persoanei vizate după oferirea unor informații simplificate sub forma unor pictograme standardizate. Acest lucru ar trebui să însemne, de asemenea, că datele cu caracter personal sunt prelucrate într-un mod care permite efectiv persoanei vizate să își exerseze drepturile.

Amendamentul  25

Propunere de regulament

Considerentul 50

Textul propus de Comisie

Amendamentul

(50) Cu toate acestea, nu este necesară impunerea obligației respective în cazul în care persoana vizată dispune deja de aceste informații sau în cazul în care înregistrarea sau divulgarea datelor este prevăzută în mod expres de lege sau în cazul în care informarea persoanei vizate se dovedește imposibilă sau implică eforturi disproporționate. Acesta din urmă ar putea fi cazul în special atunci când prelucrarea se efectuează în scopuri de cercetare istorică, statistică sau științifică; în această privință, pot fi luate în considerare numărul persoanelor vizate, vechimea datelor și măsurile compensatorii adoptate.

(50) Cu toate acestea, nu este necesară impunerea obligației respective în cazul în care persoana vizată cunoaște deja aceste informații sau în cazul în care înregistrarea sau divulgarea datelor este prevăzută în mod expres de lege sau în cazul în care informarea persoanei vizate se dovedește imposibilă sau implică eforturi disproporționate.

Amendamentul  26

Propunere de regulament

Considerentul 51

Textul propus de Comisie

Amendamentul

(51) Orice persoană ar trebui să aibă dreptul de acces la datele colectate care o privesc și de a exercita acest drept cu ușurință, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica, în special, în ce scopuri sunt prelucrate datele, pentru ce perioadă, identitatea destinatarilor datelor, care este logica de prelucrare a datelor și care ar putea fi, cel puțin în cazul în care se bazează pe crearea de profiluri, consecințele unei astfel de prelucrări. Acest drept nu ar trebui să aducă atingere drepturilor și libertăților altora, inclusiv secretului comercial sau proprietății intelectuale și, în special, drepturilor de autor care asigură protecția programelor software. Cu toate acestea, considerațiile de mai sus nu ar trebui aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate.

(51) Orice persoană ar trebui să aibă dreptul de acces la datele colectate care o privesc și de a exercita acest drept cu ușurință, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica, în special, în ce scopuri sunt prelucrate datele cu caracter personal, pentru aproximativ ce perioadă, identitatea destinatarilor datelor cu caracter personal, care este logica generală de prelucrare a datelor cu caracter personal și care ar putea fi consecințele unei astfel de prelucrări. Acest drept nu ar trebui să aducă atingere drepturilor și libertăților altora, inclusiv secretului comercial sau proprietății intelectuale, precum în legătură cu drepturile de autor care asigură protecția programelor software. Cu toate acestea, considerațiile de mai sus nu ar trebui aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate.

Amendamentul  27

Propunere de regulament

Considerentul 53

Textul propus de Comisie

Amendamentul

(53) Orice persoană ar trebui să aibă dreptul de rectificare a datelor cu caracter personal care o privesc și „dreptul de a fi uitată”, în cazul în care păstrarea acestor date nu este în conformitate cu prezentul regulament. În special, persoanele vizate ar trebui să aibă dreptul ca datele lor cu caracter personal să fie șterse și să nu mai fie prelucrate, în cazul în care datele nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în care persoanele vizate și-au retras consimțământul pentru prelucrare sau în cazul în care acestea se opun prelucrării datelor cu caracter personal care le privesc sau în cazul în care prelucrarea datelor cu caracter personal ale acestora nu este conformă cu prezentul regulament. Acest drept este relevant în special în cazul în care persoana vizată și-a dat consimțământul când era minor și nu cunoștea pe deplin riscurile pe care le implică prelucrarea, iar ulterior dorește să elimine astfel de date cu caracter personal, în special de pe internet. Cu toate acestea, păstrarea în continuare a datelor ar trebui să fie permisă în cazul în care este necesară în scopuri de cercetare istorică, statistică și științifică, din motive de interes public în domeniul sănătății publice, pentru exercitarea dreptului la libertatea de exprimare, atunci când acest lucru este prevăzut de lege sau în cazul în care există un motiv pentru a restricționa prelucrarea datelor, în loc ca acestea să fie șterse.

(53) Orice persoană ar trebui să aibă dreptul de rectificare a datelor cu caracter personal care o privesc și „dreptul la ștergere”, în cazul în care păstrarea acestor date nu este în conformitate cu prezentul regulament. În special, persoanele vizate ar trebui să aibă dreptul ca datele lor cu caracter personal să fie șterse și să nu mai fie prelucrate, în cazul în care datele nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în care persoanele vizate și-au retras consimțământul pentru prelucrare sau în cazul în care acestea se opun prelucrării datelor cu caracter personal care le privesc sau în cazul în care prelucrarea datelor cu caracter personal ale acestora nu este conformă cu prezentul regulament. Cu toate acestea, păstrarea în continuare a datelor ar trebui să fie permisă în cazul în care este necesară în scopuri de cercetare istorică, statistică și științifică, din motive de interes public în domeniul sănătății publice, pentru exercitarea dreptului la libertatea de exprimare, atunci când acest lucru este prevăzut de lege sau în cazul în care există un motiv pentru a restricționa prelucrarea datelor, în loc ca acestea să fie șterse. De asemenea, dreptul la ștergere nu ar trebui să se aplice atunci când păstrarea datelor cu caracter personal este necesară pentru executarea unui contract încheiat cu persoana vizată sau atunci când există o obligație legală de a păstra aceste date.

Amendamentul  28

Propunere de regulament

Considerentul 54

Textul propus de Comisie

Amendamentul

(54) Pentru a se consolida „dreptul de a fi uitat” în mediul on-line, dreptul de ștergere ar trebui, de asemenea, să fie extins astfel încât un operator care a făcut publice date cu caracter personal ar trebui să aibă obligația de a informa terții care prelucrează astfel de date că o persoană vizată le solicită să șteargă orice linkuri către datele cu caracter personal respective sau copii sau reproduceri ale acestora. În scopul asigurării acestor informații, operatorul ar trebui să ia toate măsurile rezonabile, inclusiv măsuri tehnice, în ceea ce privește datele de a căror publicare este responsabil. În legătură cu publicarea datelor cu caracter personal de către un terț, operatorul ar trebui să fie considerat responsabil de publicare, în cazul în care acesta a autorizat publicarea de către terț.

(54) Pentru a se consolida „dreptul de ștergere” în mediul on-line, dreptul de ștergere ar trebui, de asemenea, să fie extins astfel încât un operator care a făcut publice date cu caracter personal fără a avea un temei juridic ar trebui să ia toate măsurile necesare pentru ștergerea datelor, inclusive de către terți, fără a aduce însă atingere dreptului persoanei vizate de a solicita despăgubiri.

Amendamentul  29

Propunere de regulament

Considerentul 54 a (nou)

Textul propus de Comisie

Amendamentul

 

(54a) Datele contestate de persoana vizată și a căror exactitate sau lipsă de exactitate nu poate fi determinată ar trebui să fie blocate până la clarificarea chestiunii.

Amendamentul  30

Propunere de regulament

Considerentul 55

Textul propus de Comisie

Amendamentul

(55) Pentru a se consolida în continuare controlul asupra propriilor date și dreptul lor de acces, persoanele vizate ar trebui să aibă dreptul, în cazul în care datele cu caracter personal sunt prelucrate prin mijloace electronice într-un format structurat și utilizat în mod curent, de a obține, de asemenea, o copie a datelor care le privesc într-un format electronic utilizat în mod curent. Persoana vizată ar trebui, de asemenea, să fie autorizată să transmită datele respective, pe care le-a furnizat, dintr-o aplicație automată, cum ar fi o rețea socială, către alta. Aceasta ar trebui să se aplice în cazul în care persoana vizată a furnizat datele sistemului de prelucrare automată, pe baza consimțământului său sau în cadrul executării unui contract.

(55) Pentru a se consolida în continuare controlul asupra propriilor date și dreptul lor de acces, persoanele vizate ar trebui să aibă dreptul, în cazul în care datele cu caracter personal sunt prelucrate prin mijloace electronice într-un format structurat și utilizat în mod curent, de a obține, de asemenea, o copie a datelor care le privesc într-un format electronic utilizat în mod curent. Persoana vizată ar trebui, de asemenea, să fie autorizată să transmită datele respective, pe care le-a furnizat, dintr-o aplicație automată, cum ar fi o rețea socială, către alta. Operatorii de date ar trebui să fie încurajați să dezvolte formate interoperabile care să permită portabilitatea datelor. Aceasta ar trebui să se aplice în cazul în care persoana vizată a furnizat datele sistemului de prelucrare automată, pe baza consimțământului său sau în cadrul executării unui contract. Furnizorii de servicii ale societății informaționale nu ar trebui să condiționeze furnizarea serviciilor lor de transferul acestor date.

Amendamentul  31

Propunere de regulament

Considerentul 56

Textul propus de Comisie

Amendamentul

(56) În cazurile în care datele cu caracter personal ar putea fi prelucrate în mod legal în scopul asigurării protecției intereselor vitale ale persoanei vizate sau din motive de interes public, de exercitare a autorității publice sau de urmărire a intereselor legitime ale unui operator, orice persoană vizată ar trebui, cu toate acestea, să aibă dreptul de a se opune prelucrării oricăror date care o privesc. Sarcina probei ar trebui să revină operatorului pentru a demonstra că interesele sale legitime pot prevala asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate.

(56) În cazurile în care datele cu caracter personal ar putea fi prelucrate în mod legal în scopul asigurării protecției intereselor vitale ale persoanei vizate sau din motive de interes public, de exercitare a autorității publice sau de urmărire a intereselor legitime ale unui operator, orice persoană vizată ar trebui, cu toate acestea, să aibă dreptul de a se opune prelucrării oricăror date care o privesc, într-un mod care să poată fi invocate cu ușurință și în mod efectiv. Sarcina probei ar trebui să revină operatorului pentru a demonstra că interesele sale legitime pot prevala asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate.

Amendamentul  32

Propunere de regulament

Considerentul 57

Textul propus de Comisie

Amendamentul

(57) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de marketing direct, persoana vizată ar trebui să aibă gratuit dreptul la opoziție cu privire la o astfel de prelucrare, care să poată fi invocat cu ușurință și în mod efectiv.

(57) În cazul în care persoana vizată are dreptul la opoziție cu privire la prelucrare, operatorul ar trebui să îl propună persoanei vizate într-un mod și sub o formă inteligibile, folosind un limbaj clar și simplu și care trebui se distingă clar acest drept de alte informații.

Amendamentul  33

Propunere de regulament

Considerentul 58

Textul propus de Comisie

Amendamentul

(58) Orice persoană fizică ar trebui să aibă dreptul de a nu fi supusă unei măsuri care se bazează pe crearea de profiluri prin mijloace de prelucrare automată a datelor. Cu toate acestea, o astfel de măsură ar trebui să fie permisă în cazul în care este autorizată în mod expres de lege, este efectuată în cadrul încheierii sau al executării unui contract sau în cazul în care persoana vizată și-a dat consimțământul. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, inclusiv o informare specifică a persoanei vizate și dreptul de a obține intervenție umană, iar o astfel de măsură nu ar trebui să se refere la un minor.

(58) Fără a aduce atingere legalității prelucrării datelor, orice persoană fizică ar trebui să aibă dreptul de a se opune creării de profiluri. Crearea de profiluri care duce la măsuri care dau naștere unor efecte juridice privind persoana vizată sau care are în mod similar un impact semnificativ asupra intereselor, drepturilor și libertăților persoanei vizate ar trebui să fie permisă în cazul în care este autorizată în mod expres de lege, este efectuată în cadrul încheierii sau al executării unui contract sau în cazul în care persoana vizată și-a dat consimțământul. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, inclusiv o informare specifică a persoanei vizate și dreptul de a obține apreciere umană, iar o astfel de măsură nu ar trebui să se refere la un minor. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, inclusiv o informare specifică a persoanei vizate și dreptul de a obține aprecierea umană, iar o astfel de măsură nu ar trebui să se refere la un minor. Aceste măsuri nu ar trebui să ducă la discriminarea persoanelor pe baza originii rasiale sau etnice, a opiniilor politice, a religiei sau a convingerilor, a apartenenței sindicale, a orientării sexuale sau a identității de gen.

Amendamentul  34

Propunere de regulament

Considerentul 58 a (nou)

Textul propus de Comisie

Amendamentul

 

(58a) Crearea de profiluri bazate exclusive pe prelucrarea de date pseudonime ar trebui considerat că nu afectează semnificativ interesele, drepturile sau libertățile persoanei vizate. Atunci când crearea de profiluri, fie că se bazează pe o sursă unică de date pseudonime sau pe agregarea de date pseudonime provenite din surse diferite, permite operatorului să atribuie date pseudonime unei anume persoane vizate, datele prelucrate nu ar trebui să mai fie considerate ca fiind pseudonime.

Amendamentul  35

Propunere de regulament

Considerentul 59

Textul propus de Comisie

Amendamentul

(59) Dreptul Uniunii sau legislația unui stat membru pot impune restricții ale principiilor specifice, ale drepturilor de informare, acces, rectificare și ștergere sau ale dreptului la portabilitatea datelor, ale dreptului la opoziție, ale măsurilor bazate pe crearea de profiluri, precum și ale comunicării unei încălcări a securității datelor cu caracter personal persoanei vizate și ale anumitor obligații conexe ale operatorilor, în măsura în care acest lucru este necesar și proporțional într-o societate democratică pentru a se garanta siguranța publică, inclusiv protecția vieții oamenilor, în special ca răspuns la dezastre naturale sau provocate de om, prevenirea, investigarea și urmărirea penală a infracțiunilor sau a încălcării eticii în cazul profesiunilor reglementate, alte interese publice ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, sau protecția persoanei vizate sau a drepturilor și libertăților unor terți. Aceste restricții ar trebui să fie conforme cu cerințele prevăzute de Carta drepturilor fundamentale a Uniunii Europene și de Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale.

(59) Dreptul Uniunii sau legislația unui stat membru pot impune restricții ale principiilor specifice, ale drepturilor de informare, rectificare și ștergere sau ale dreptului de acces și de obținere a datelor, ale dreptului la opoziție, al creării de profiluri, precum și ale comunicării unei încălcări a securității datelor cu caracter personal persoanei vizate și ale anumitor obligații conexe ale operatorilor, în măsura în care acest lucru este necesar și proporțional într-o societate democratică pentru a se garanta siguranța publică, inclusiv protecția vieții oamenilor, în special ca răspuns la dezastre naturale sau provocate de om, prevenirea, investigarea și urmărirea penală a infracțiunilor sau a încălcării eticii în cazul profesiilor reglementate, alte interese publice specifice și bine definite ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, sau protecția persoanei vizate sau a drepturilor și libertăților unor terți. Aceste restricții ar trebui să fie conforme cu cerințele prevăzute de Carta drepturilor fundamentale a Uniunii Europene și de Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale.

Amendamentul  36

Propunere de regulament

Considerentul 60

Textul propus de Comisie

Amendamentul

(60) Ar trebui să se stabilească responsabilitatea și răspunderea generală a operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să asigure și să aibă obligația de a demonstra conformitatea fiecărei operațiuni de prelucrare cu prezentul regulament.

(60) Ar trebui să se stabilească responsabilitatea și răspunderea generală a operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său, în special în ceea ce privește documentarea, securitatea datelor, evaluările de impact, responsabilul cu protecția datelor și supravegherea de către autoritățile pentru protecția datelor. În special, operatorul ar trebui să asigure și să poată demonstra conformitatea fiecărei operațiuni de prelucrare cu prezentul regulament. Aceasta ar trebui verificată de auditori interni sau externi independenți.

Amendamentul  37

Propunere de regulament

Considerentul 61

Textul propus de Comisie

Amendamentul

(61) Protecția drepturilor și libertăților persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice și organizatorice corespunzătoare, atât în momentul conceperii prelucrării, cât și în cel al prelucrării în sine, pentru a se asigura îndeplinirea cerințelor prezentului regulament. În scopul asigurării și al demonstrării conformității cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri corespunzătoare, care să respecte, în special, principiul luării în considerare a protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor.

(61) Protecția drepturilor și libertăților persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice și organizatorice corespunzătoare, atât în momentul conceperii prelucrării, cât și în cel al prelucrării în sine, pentru a se asigura îndeplinirea cerințelor prezentului regulament. În scopul asigurării și al demonstrării conformității cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri corespunzătoare, care să respecte, în special, principiul luării în considerare a protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor. Principiul protecției datelor încă din faza de concepție necesită integrarea protecției datelor în întregul ciclu de viață al tehnologiei, de la prima fază de concepție până la distribuirea, utilizarea și eliminarea sa finală. Aceasta ar trebui să includă și responsabilitatea pentru produsele și serviciile utilizate de operator sau de persoana împuternicită de către operator. Principiul protecției implicite a datelor presupune că parametrii de confidențialitate ai serviciilor și produselor ar trebui să respecte implicit principiile generale de protecție a datelor, precum minimizarea datelor și limitarea scopului.

Amendamentul  38

Propunere de regulament

Considerentul 62

Textul propus de Comisie

Amendamentul

(62) Protecția drepturilor și libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanei împuternicite de către operator, în ceea ce privește, de asemenea, monitorizarea de către autoritățile de supraveghere și măsurile adoptate de acestea, necesită o atribuire clară a responsabilităților în temeiul prezentului regulament, inclusiv în cazul în care un operator stabilește scopurile, condițiile și mijloacele prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator.

(62) Protecția drepturilor și libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanei împuternicite de operator, în ceea ce privește, de asemenea, monitorizarea de către autoritățile de supraveghere și măsurile adoptate de acestea, necesită o atribuire clară a responsabilităților în temeiul prezentului regulament, inclusiv în cazul în care un operator stabilește scopurile prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator. Acordul dintre operatorii asociați ar trebui să reflecte rolurile lor efective și relațiile lor. În cadrul prelucrării de date cu caracter personal în temeiul prezentului regulament, ar trebui să i se permită unui operator să transmită datele unui operator asociat sau unei persoane împuternicite de către operator în vederea prelucrării datelor de către aceștia în numele lui.

Amendamentul  39

Propunere de regulament

Considerentul 63

Textul propus de Comisie

Amendamentul

(63) Atunci când un operator care nu este stabilit în Uniune prelucrează date cu caracter personal ale unor persoane vizate care își au reședința în Uniune, iar activitățile de prelucrare ale operatorului au legătură cu oferirea de bunuri și servicii unor astfel de persoane vizate sau cu monitorizarea comportamentului acestora, operatorul ar trebui să desemneze un reprezentant, cu excepția cazului în care operatorul este stabilit într-o țară terță care asigură un nivel adecvat de protecție sau în care operatorul este o întreprindere mică sau mijlocie sau o autoritate publică sau un organism public sau în care operatorul oferă doar ocazional bunuri sau servicii unor astfel de persoane vizate. Reprezentantul ar trebui să acționeze în numele operatorului, putând fi contactat de orice autoritate de supraveghere.

(63) Atunci când un operator care nu este stabilit în Uniune prelucrează date cu caracter personal ale unor persoane vizate care își au reședința în Uniune, operatorul ar trebui să desemneze un reprezentant, cu excepția cazului în care operatorul este stabilit într-o țară terță care asigură un nivel adecvat de protecție sau prelucrarea vizează mai puțin de 5 000 de persoane în cursul unei perioade de 12 luni consecutive și nu privește categorii speciale de date cu caracter personal sau operatorul este o autoritate publică sau un organism public sau în care operatorul oferă doar ocazional bunuri sau servicii unor astfel de persoane vizate Reprezentantul ar trebui să acționeze în numele operatorului, putând fi contactat de orice autoritate de supraveghere.

Amendamentul  40

Propunere de regulament

Considerentul 64

Textul propus de Comisie

Amendamentul

(64) Pentru a se stabili dacă un operator oferă doar ocazional bunuri și servicii persoanelor vizate care își au reședința în Uniune, ar trebui să se analizeze dacă din ansamblul activităților desfășurate de către operator rezultă că oferirea de bunuri și servicii unor astfel de persoane vizate este auxiliară activităților principale respective.

(64) Pentru a se stabili dacă un operator oferă doar ocazional bunuri și servicii persoanelor vizate din Uniune, ar trebui să se analizeze dacă din ansamblul activităților desfășurate de către operator rezultă că oferirea de bunuri și servicii unor astfel de persoane vizate este auxiliară activităților principale respective.

Amendamentul  41

Propunere de regulament

Considerentul 65

Textul propus de Comisie

Amendamentul

(65) În vederea demonstrării conformității cu prezentul regulament, operatorul sau persoana împuternicită de către operator ar trebui să documenteze fiecare operațiune de prelucrare. Fiecare operator și fiecare persoană împuternicită de către operator ar trebui să aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la dispoziția acesteia, la cerere, documentația respectivă, pentru a putea fi utilizată în scopul monitorizării operațiunilor de prelucrare respective.

(65) Pentru a putea demonstra conformitatea cu prezentul regulament, operatorul sau persoana împuternicită de către operator ar trebui să actualizeze documentația necesară pentru a respecta cerințele prevăzute de prezentul regulament. Fiecare operator și fiecare persoană împuternicită de către operator ar trebui să aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la dispoziția acesteia, la cerere, documentația respectivă, pentru a putea fi utilizată în scopul de a evalua respectarea prezentului regulament. Cu toate acestea, ar trebui să se acorde o atenție și o importanță egală bunelor practici și respectării obligațiilor, pe lângă cerința referitoare la o documentație completă.

Amendamentul  42

Propunere de regulament

Considerentul 66

Textul propus de Comisie

Amendamentul

(66) În vederea menținerii securității și a prevenirii prelucrărilor care încalcă dispozițiile prezentului regulament, operatorul sau persoana împuternicită de către operator ar trebui să evalueze riscurile inerente prelucrării și să pună în aplicare măsuri pentru atenuarea acestor riscuri. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, luând în considerare stadiul actual al tehnologiei și costurile punerii lor în aplicare în raport cu riscurile și natura datelor cu caracter personal a căror protecție trebuie asigurată. Atunci când se stabilesc standarde tehnice și măsuri organizatorice menite să asigure securitatea prelucrării, Comisia ar trebui să promoveze neutralitatea tehnologică, interoperabilitatea și inovarea, și, dacă este cazul, cooperarea cu țările terțe.

(66) În vederea menținerii securității și a prevenirii prelucrărilor care încalcă dispozițiile prezentului regulament, operatorul sau persoana împuternicită de către operator ar trebui să evalueze riscurile inerente prelucrării și să pună în aplicare măsuri pentru atenuarea acestor riscuri. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, luând în considerare stadiul actual al tehnologiei și costurile punerii lor în aplicare în raport cu riscurile și natura datelor cu caracter personal a căror protecție trebuie asigurată. Atunci când se stabilesc standarde tehnice și măsuri organizatorice menite să asigure securitatea prelucrării, ar trebui promovate neutralitatea tehnologică, interoperabilitatea și inovarea, și, dacă este cazul, ar trebui încurajată cooperarea cu țările terțe.

Amendamentul  43

Propunere de regulament

Considerentul 67

Textul propus de Comisie

Amendamentul

(67) Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate cauza persoanei fizice în cauză pierderi economice substanțiale și daune sociale, inclusiv fraudarea identității. Prin urmare, de îndată ce a luat cunoștință de producerea unei astfel de încălcări, operatorul ar trebui să o notifice autorității de supraveghere, fără întârziere nejustificată și, dacă este posibil, în termen de 24 de ore. În cazul în care termenul de 24 de ore nu este respectat, o explicație a motivelor întârzierii ar trebui să însoțească notificarea. Persoanele fizice ale căror date cu caracter personal ar putea fi afectate negativ de încălcare ar trebui să fie notificate fără întârziere nejustificată pentru a putea să ia măsurile de precauție necesare. Ar trebui să se considere că o încălcare afectează în mod negativ datele cu caracter personal sau viața privată a unei persoane vizate în cazul în care aceasta ar putea avea drept rezultat, de exemplu, furtul sau fraudarea identității, vătămarea corporală, umilirea gravă sau afectarea reputației. Notificarea ar trebui să descrie natura încălcării securității datelor cu caracter personal și să formuleze recomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative. Notificările persoanelor vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil și în strânsă cooperare cu autoritatea de supraveghere, respectându-se orientările furnizate de aceasta sau de alte autorități competente (de exemplu, autoritățile de aplicare a legii). De exemplu, pentru ca persoanele vizate să poată atenua un risc imediat de prejudiciere, acestea ar trebui notificate cu promptitudine, în timp ce necesitatea de a pune în aplicare măsuri corespunzătoare împotriva încălcării în continuare a securității datelor sau împotriva unor încălcări similare ale securității datelor ar putea justifica un termen mai îndelungat.

(67) Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate cauza persoanei fizice în cauză pierderi economice substanțiale și daune sociale, inclusiv fraudarea identității. Prin urmare, operatorul ar trebui să o notifice autorității de supraveghere, fără întârziere nejustificată și în termen de maxim 72 de ore. Dacă este cazul, o explicație a motivelor întârzierii ar trebui să însoțească notificarea. Persoanele fizice ale căror date cu caracter personal ar putea fi afectate negativ de încălcare ar trebui să fie notificate fără întârziere nejustificată pentru a putea să ia măsurile de precauție necesare. Ar trebui să se considere că o încălcare afectează în mod negativ datele cu caracter personal sau viața privată a unei persoane vizate în cazul în care aceasta ar putea avea drept rezultat, de exemplu, furtul sau fraudarea identității, vătămarea corporală, umilirea gravă sau afectarea reputației. Notificarea ar trebui să descrie natura încălcării securității datelor cu caracter personal și să formuleze recomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative. Notificările persoanelor vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil și în strânsă cooperare cu autoritatea de supraveghere, respectându-se orientările furnizate de aceasta sau de alte autorități competente (de exemplu, autoritățile de aplicare a legii). De exemplu, pentru ca persoanele vizate să poată atenua un risc imediat de prejudiciere, acestea ar trebui notificate cu promptitudine, în timp ce necesitatea de a pune în aplicare măsuri corespunzătoare împotriva încălcării în continuare a securității datelor sau împotriva unor încălcări similare ale securității datelor ar putea justifica un termen mai îndelungat.

Amendamentul  44

Propunere de regulament

Considerentul 71 a (nou)

Textul propus de Comisie

Amendamentul

 

(71a) Evaluările de impact reprezintă elementul central al oricărui cadru sustenabil de protecție a datelor, garantând faptul că întreprinderile înțeleg de la început toate consecințele posibile ale operațiunilor lor de prelucrare a datelor. Dacă evaluările impactului sunt riguroase, posibilitatea apariției unei încălcări a securității datelor sau a unor operațiuni de invadare a vieții private poate fi limitată în mod fundamental. Prin urmare, evaluările impactului asupra protecției datelor ar trebui să ia în considerare gestionarea întregului ciclu de viață a datelor cu caracter personal, de la colectare la prelucrare și ștergere și să descrie în detaliu operațiunile de prelucrare avute în vedere, riscurile prezentate pentru drepturile și libertățile persoanelor vizate, măsurile avute în vedere pentru abordarea riscurilor, garanțiile, măsurile de securitate și mecanismele menite să asigure respectarea dispozițiilor prezentului regulament.

Amendamentul  45

Propunere de regulament

Considerentul 71 b (nou)

Textul propus de Comisie

Amendamentul

 

(71b) Operatorii ar trebui să se concentreze pe protecția datelor cu caracter personal pe durata întregului ciclu de viață al datelor, de la culegere la prelucrare și eliminare, investind de la început într-un cadru de gestionare sustenabilă a datelor și instituind un mecanism cuprinzător de asigurare a conformității.

Amendamentul  46

Propunere de regulament

Considerentul 73

Textul propus de Comisie

Amendamentul

(73) Evaluările impactului asupra protecției datelor ar trebui efectuate de către o autoritate publică sau un organism public în cazul în care o astfel de evaluare nu a fost deja realizată în contextul adoptării legislației naționale pe care se bazează îndeplinirea sarcinilor autorității publice sau ale organismului public și care reglementează anumite operațiuni sau serii de operațiuni de prelucrare în cauză.

eliminat

Amendamentul  47

Propunere de regulament

Considerentul 74

Textul propus de Comisie

Amendamentul

(74) În cazul în care o evaluare a impactului asupra protecției datelor arată că operațiunile de prelucrare implică un nivel ridicat al riscurilor specifice pentru drepturile și libertățile persoanelor vizate, cum ar fi privarea persoanelor fizice de un drept, sau prin utilizarea noilor tehnologii specifice, autoritatea de supraveghere ar trebui să fie consultată, înainte de începerea operațiunilor, cu privire la o prelucrare riscantă care ar putea să nu fie conformă cu prezentul regulament și pentru a face propuneri în vederea remedierii unei astfel de situații. Această consultare ar trebui, de asemenea, să aibă loc în timpul elaborării fie a unei măsuri a parlamentului național, fie a unei măsuri întemeiate pe o astfel de măsură legislativă, care definește natura prelucrării și stabilește garanțiile corespunzătoare.

(74) În cazul în care o evaluare a impactului asupra protecției datelor arată că operațiunile de prelucrare implică un nivel ridicat al riscurilor specifice pentru drepturile și libertățile persoanelor vizate, cum ar fi privarea persoanelor fizice de un drept, sau prin utilizarea noilor tehnologii specifice, responsabilul cu protecția datelor sau autoritatea de supraveghere ar trebui să fie consultată, înainte de începerea operațiunilor, cu privire la o prelucrare riscantă care ar putea să nu fie conformă cu prezentul regulament și pentru a face propuneri în vederea remedierii unei astfel de situații. O consultare a autorității de supraveghere ar trebui, de asemenea, să aibă loc în timpul elaborării fie a unei măsuri a parlamentului național, fie a unei măsuri întemeiate pe o astfel de măsură legislativă, care definește natura prelucrării și stabilește garanțiile corespunzătoare.

Amendamentul  48

Propunere de regulament

Considerentul 74 a (nou)

Textul propus de Comisie

Amendamentul

 

(74a) Evaluările de impact pot fi utile numai dacă operatorii își respectă angajamentele prevăzute inițial în acestea. Prin urmare, operatorii de date ar trebui să efectueze periodic evaluări ale conformității care să demonstreze că actualele mecanisme de prelucrare a datelor respectă garanțiile din evaluarea impactului asupra protecției datelor. Acestea ar trebui să demonstreze și capacitatea operatorului de date de a respecta alegerile libere ale persoanelor vizate. În plus, în cazul în care la evaluarea conformității se constată nereguli, acestea ar trebui evidențiate și ar trebui să se prezinte recomandări cu privire la modul în care se poate realiza o conformitate deplină.

Amendamentul  49

Propunere de regulament

Considerentul 75

Textul propus de Comisie

Amendamentul

(75) În cazul în care prelucrarea este efectuată în sectorul public sau în cazul în care, în sectorul privat, prelucrarea este efectuată de o întreprindere de mari dimensiuni sau în cazul în care activitățile de bază ale întreprinderii, indiferent de dimensiunea acesteia, implică operațiuni de prelucrare care necesită o monitorizare regulată și sistematică, o persoană ar trebui să acorde asistență operatorului sau persoanei împuternicite de către operator pentru monitorizarea conformității, la nivel intern, cu prezentul regulament. Acești responsabilii cu protecția datelor, fie că sunt sau nu sunt angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent.

(75) În cazul în care prelucrarea este efectuată în sectorul public sau în cazul în care, în sectorul privat, prelucrarea privește mai mult de 5000 de persoane vizate în cursul a 12 luni sau în cazul în care activitățile de bază ale întreprinderii, indiferent de dimensiunea acesteia, implică operațiuni de prelucrare a unor date confidențiale sau operațiuni de prelucrare care necesită o monitorizare regulată și sistematică, o persoană ar trebui să acorde asistență operatorului sau persoanei împuternicite de către operator pentru monitorizarea conformității, la nivel intern, cu prezentul regulament. Atunci când se stabilește dacă se prelucrează date referitoare la un număr mare de persoane vizate, nu ar trebui luate în considerare datele arhivate care sunt protejate pentru a nu face obiectul unor operațiuni normale de acces și de prelucrare și care nu mai pot fi modificate. Acești responsabili cu protecția datelor, fie că sunt sau nu sunt angajați ai operatorului și fie că îndeplinesc sau nu această sarcină cu normă întreagă, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent și beneficiază de o protecție specială împotriva concedierii. Responsabilitatea finală ar trebui să îi revină conducerii unei organizații. Responsabilul cu protecția datelor ar trebui să fie consultat în special înaintea conceperii, achiziționării, dezvoltării și instalării de sisteme pentru prelucrarea automată a datelor cu caracter personal, pentru a se garanta respectarea principiilor luării în considerare a vieții private începând cu momentul conceperii și al respectării implicite a vieții private.

Amendamentul  50

Propunere de regulament

Considerentul 75 a (nou)

Textul propus de Comisie

Amendamentul

 

(75a) Responsabilul cu protecția datelor ar trebui să aibă cel puțin următoarele calificări: cunoștințe temeinice privind conținutul și punerea în aplicare a legislației privind protecția datelor, inclusiv privind măsurile și procedurile tehnice și organizatorice; cunoștințe solide privind cerințele tehnice referitoare la protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cunoștințe specifice sectorului în conformitate cu dimensiunea operatorului sau a persoanei împuternicite de operator și cu gradul de sensibilitate a datelor care trebuie prelucrate; capacitatea de a efectua inspecții, consultări, documentări și analize ale fișierelor-jurnal; și capacitatea de a lucra cu reprezentanți ai lucrătorilor. Operatorul ar trebui să permită responsabilului cu protecția datelor să participe la măsuri de formare avansată pentru a-și menține nivelul de cunoștințe specializate necesare pentru îndeplinirea sarcinilor sale. Desemnarea funcției de responsabil cu protecția datelor nu presupune în mod obligatoriu ocuparea cu normă întreagă a lucrătorului respective.

Amendamentul  51

Propunere de regulament

Considerentul 76

Textul propus de Comisie

Amendamentul

(76) Asociațiile sau alte organisme care reprezintă categorii de operatori ar trebui încurajate să elaboreze coduri de conduită, în limitele prezentului regulament, astfel încât să se faciliteze aplicarea efectivă a prezentului regulament, luându-se în considerare caracteristicile specifice ale prelucrării efectuate în anumite sectoare.

(76) Asociațiile sau alte organisme care reprezintă categorii de operatori ar trebui încurajate, după consultarea reprezentanților angajaților, să elaboreze coduri de conduită, în limitele prezentului regulament, astfel încât să se faciliteze aplicarea efectivă a prezentului regulament, luându-se în considerare caracteristicile specifice ale prelucrării efectuate în anumite sectoare. Aceste coduri ar trebui să simplifice respectarea prezentului regulament de către întreprinderi.

Amendamentul  52

Propunere de regulament

Considerentul 77

Textul propus de Comisie

Amendamentul

(77) Pentru a se îmbunătăți transparența și conformitatea cu prezentul regulament, ar trebui să se încurajeze instituirea de mecanisme de certificare, precum și de sigilii și mărci în materie de protecție a datelor, care să permită persoanelor vizate să evalueze rapid nivelul de protecție a datelor aferent produselor și serviciilor relevante.

(77) Pentru a se îmbunătăți transparența și conformitatea cu prezentul regulament, ar trebui să se încurajeze instituirea de mecanisme de certificare, precum și de sigilii și mărci standardizate în materie de protecție a datelor, care să permită persoanelor vizate să evalueze în mod rapid, fiabil și verificabil nivelul de protecție a datelor aferent produselor și serviciilor relevante. Un „sigiliu european privind protecția datelorˮ ar trebui să fie stabilit la nivel european pentru a crea un climat de încredere în rândul persoanelor vizate, certitudine juridică pentru operatori și, în același timp, pentru a exporta standardele europene în domeniul protecției datelor, permițând întreprinderilor din afara Europei să pătrundă mai ușor pe piețele europene prin obținerea certificării.

Amendamentul  53

Propunere de regulament

Considerentul 79

Textul propus de Comisie

Amendamentul

(79) Prezentul regulament nu aduce atingere acordurilor internaționale încheiate între Uniune și țări terțe în vederea reglementării transferului de date cu caracter personal, inclusiv garanții corespunzătoare pentru persoanele vizate.

(79) Prezentul regulament nu aduce atingere acordurilor internaționale încheiate între Uniune și țări terțe în vederea reglementării transferului de date cu caracter personal, inclusiv garanțiilor corespunzătoare pentru persoanele vizate, care asigură un nivel adecvat de protecție a drepturilor fundamentale ale cetățenilor.

Amendamentul  54

Propunere de regulament

Considerentul 80

Textul propus de Comisie

Amendamentul

(80) Comisia poate decide, cu efect în întreaga Uniune, că anumite țări terțe sau un teritoriu sau un sector de prelucrare dintr-o țară terță sau o organizație internațională oferă un nivel adecvat de protecție a datelor, furnizând astfel securitate juridică și uniformitate în Uniune în ceea ce privește țările terțe sau organizațiile internaționale care sunt considerate a furniza un astfel de nivel de protecție. În aceste cazuri, transferurile de date cu caracter personal către țările respective pot avea loc fără a fi necesar să se obțină o autorizație suplimentară.

(80) Comisia poate decide, cu efect în întreaga Uniune, că anumite țări terțe sau un teritoriu sau un sector de prelucrare dintr-o țară terță sau o organizație internațională oferă un nivel adecvat de protecție a datelor, furnizând astfel securitate juridică și uniformitate în Uniune în ceea ce privește țările terțe sau organizațiile internaționale care sunt considerate a furniza un astfel de nivel de protecție. De asemenea, Comisia poate să decidă, după trimiterea unei notificări și a unei justificări complete țării terțe, să anuleze o astfel de decizie.

Amendamentul  55

Propunere de regulament

Considerentul 82

Textul propus de Comisie

Amendamentul

(82) Comisia poate, de asemenea, să recunoască faptul că o țară terță sau un teritoriu sau un sector de prelucrare dintr-o țară terță sau o organizație internațională nu oferă un nivel adecvat de protecție a datelor. În consecință, transferul de date cu caracter personal către țara terță respectivă ar trebui să fie interzis. În acest caz, ar trebui să se prevadă dispoziții pentru consultări între Comisie și astfel de țări terțe sau organizații internaționale.

(82) Comisia poate, de asemenea, să recunoască faptul că o țară terță sau un teritoriu sau un sector de prelucrare dintr-o țară terță sau o organizație internațională nu oferă un nivel adecvat de protecție a datelor. Orice dispoziție legislativă care prevede accesul extrateritorial la datele cu caracter personal prelucrate pe teritoriul Uniunii, fără să existe o autorizare în conformitate cu dreptul Uniunii sau al unui stat membru, ar trebui să fie considerată drept o indicație a absenței unui nivel adecvat de protecție. În consecință, transferul de date cu caracter personal către țara terță respectivă ar trebui să fie interzis. În acest caz, ar trebui să se prevadă dispoziții pentru consultări între Comisie și astfel de țări terțe sau organizații internaționale.

Amendamentul  56

Propunere de regulament

Considerentul 83

Textul propus de Comisie

Amendamentul

(83) În absența unei decizii privind caracterul adecvat al protecției, operatorul sau persoana împuternicită de către operator ar trebui să adopte măsuri pentru a compensa lipsa protecției datelor într-o țară terță prin intermediul unor garanții corespunzătoare pentru persoana vizată. Astfel de garanții corespunzătoare pot consta în utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protecție a datelor adoptate de către Comisie, a clauzelor standard în materie de protecție a datelor adoptate de către o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere sau a altor măsuri adecvate și proporționale care sunt justificate având în vedere toate circumstanțele aferente unei operațiuni de transfer de date sau unui set de operațiuni de transfer de date și în cazurile autorizate de o autoritate de supraveghere.

(83) În absența unei decizii privind caracterul adecvat al protecției, operatorul sau persoana împuternicită de către operator ar trebui să adopte măsuri pentru a compensa lipsa protecției datelor într-o țară terță prin intermediul unor garanții corespunzătoare pentru persoana vizată. Astfel de garanții corespunzătoare pot consta în utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protecție a datelor adoptate de către Comisie, a clauzelor standard în materie de protecție a datelor adoptate de către o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere. Respectivele garanții corespunzătoare ar trebui să sprijine respectarea adecvată a drepturilor persoanei vizate în cadrul prelucrării în interiorul UE, în special a dreptului la limitarea scopului, a dreptului de acces, rectificare și ștergere, precum și a dreptului la compensații. Respectivele garanții ar trebui să asigure în special respectarea principiilor de prelucrare a datelor cu caracter personal, să protejeze drepturile persoanelor vizate și să ofere căi de atac efective, să asigure respectarea principiilor de protecție a datelor începând cu momentul conceperii, precum și de protecție implicită a datelor, să garanteze existența unui responsabil cu protecția datelor.

Amendamentul  57

Propunere de regulament

Considerentul 84

Textul propus de Comisie

Amendamentul

(84) Posibilitatea ca operatorul sau persoana împuternicită de către operator să utilizeze clauze standard în materie de protecție a datelor adoptate de către Comisie sau de către o autoritate de supraveghere nu ar trebui să împiedice operatorii sau persoanele împuternicite de către aceștia să includă clauze standard în materie de protecție a datelor într-un contract mai amplu și nici să adauge alte clauze, atât timp acestea cât nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de către Comisie sau de către o autoritate de supraveghere sau nu prejudiciază drepturile sau libertățile fundamentale ale persoanelor vizate.

(84) Posibilitatea ca operatorul sau persoana împuternicită de către operator să utilizeze clauze standard în materie de protecție a datelor adoptate de către Comisie sau de către o autoritate de supraveghere nu ar trebui să împiedice operatorii sau persoanele împuternicite de către aceștia să includă clauze standard în materie de protecție a datelor într-un contract mai amplu și nici să adauge alte clauze sau garanții suplimentare, atât timp cât acestea nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de către o autoritate de supraveghere sau nu prejudiciază drepturile sau libertățile fundamentale ale persoanelor vizate. Clauzele standard în materie de protecție a datelor adoptate de către Comisie ar putea acoperi situații diferite, și anume transferul de la operatori stabiliți pe teritoriul Uniunii Europene către operatori stabiliți în afara Uniunii Europene și de la operatori stabiliți pe teritoriul Uniunii Europene către persoane împuternicite de către operatori, inclusiv subcontractanți, stabiliți în afara Uniunii Europene. Operatorii și persoanele împuternicite de către operatori ar trebui să fie încurajați să ofere garanții și mai solide prin intermediul unor angajamente contractuale suplimentare care să completeze clauzele standard în materie de protecție.

Amendamentul  58

Propunere de regulament

Considerentul 85

Textul propus de Comisie

Amendamentul

(85) Un grup corporatist ar trebui să poată utiliza regulile corporatiste obligatorii aprobate pentru transferurile sale internaționale dinspre Uniune către organizații din cadrul aceluiași grup de întreprinderi, atâta timp cât astfel de reguli corporatiste includ principii esențiale și drepturi exercitabile în scopul asigurării unor garanții corespunzătoare pentru transferurile sau categoriile de transferuri de date cu caracter personal.

(85) Un grup corporatist ar trebui să poată utiliza regulile corporatiste obligatorii aprobate pentru transferurile sale internaționale dinspre Uniune către organizații din cadrul aceluiași grup de întreprinderi, atâta timp cât astfel de reguli corporatiste includ toate principiile esențiale și drepturi exercitabile în scopul asigurării unor garanții corespunzătoare pentru transferurile sau categoriile de transferuri de date cu caracter personal.

Amendamentul  59

Propunere de regulament

Considerentul 86

Textul propus de Comisie

Amendamentul

(86) Ar trebui să se prevadă posibilitatea de a se efectua transferuri în anumite circumstanțe în care persoana vizată și-a dat consimțământul, în care transferul este necesar în legătură cu un contract sau cu o acțiune în justiție, în care motive importante de interes public stabilite de dreptul Uniunii sau de legislația unui stat membru impun acest lucru sau în care transferul se efectuează dintr-un registru instituit prin lege și destinat să fie consultat de către public sau de către persoane care au un interes legitim. În acest ultim caz, un astfel de transfer nu ar trebui să implice totalitatea datelor sau ansamblul categoriilor de date conținute în registru, iar atunci când registrul este destinat să fie consultat de către persoane care au un interes legitim, transferul ar trebui să fie efectuat doar la cererea persoanelor respective sau dacă acestea sunt destinatarii.

(86) Ar trebui să se prevadă posibilitatea de a se efectua transferuri în anumite circumstanțe în care persoana vizată și-a dat consimțământul, în care transferul este necesar în legătură cu un contract sau cu o acțiune în justiție, în care motive importante de interes public stabilite de dreptul Uniunii sau de legislația unui stat membru impun acest lucru sau în care transferul se efectuează dintr-un registru instituit prin lege și destinat să fie consultat de către public sau de către persoane care au un interes legitim. În acest ultim caz, un astfel de transfer nu ar trebui să implice totalitatea datelor sau ansamblul categoriilor de date conținute în registru, iar atunci când registrul este destinat să fie consultat de către persoane care au un interes legitim, transferul ar trebui să fie efectuat doar la cererea persoanelor respective sau dacă acestea sunt destinatarii, luând pe deplin în considerare interesele și drepturile fundamentale ale persoanei vizate.

Amendamentul  60

Propunere de regulament

Considerentul 87

Textul propus de Comisie

Amendamentul

(87) Aceste derogări ar trebui să se aplice, în special, transferurilor de date solicitate și necesare pentru protecția unor motive importante de interes public, de exemplu în cazurile transferurilor internaționale de date între autoritățile din domeniul concurenței, între administrațiile fiscale sau vamale, între autoritățile de supraveghere financiară, între serviciile competente în materie de securitate socială sau către autoritățile competente în scopul prevenirii, identificării, investigării și urmăririi penale a infracțiunilor.

(87) Aceste derogări ar trebui să se aplice, în special, transferurilor de date solicitate și necesare pentru protecția unor motive importante de interes public, de exemplu în cazurile transferurilor internaționale de date între autoritățile din domeniul concurenței, între administrațiile fiscale sau vamale, între autoritățile de supraveghere financiară, între serviciile competente în materie de securitate socială sau de sănătate publică, sau către autoritățile competente în scopul prevenirii, identificării, investigării și urmăririi penale a infracțiunilor, inclusiv a prevenirii spălării banilor și combaterii finanțării terorismului. Transferul de date cu caracter personal ar trebui, de asemenea, să fie considerat legal în cazul în care acesta este necesar în scopul asigurării protecției unui interes esențial pentru viața persoanei vizate sau pentru viața unei alte persoane, dacă persoana vizată se află în incapacitatea de a-și da consimțământul. Transferul de date cu caracter personal pentru protecția unor astfel de motive importante de interes public ar trebui să fie utilizate doar ocazional. În fiecare caz ar trebui să se efectueze o evaluare atentă a tuturor circumstanțelor transferului.

Amendamentul  61

Propunere de regulament

Considerentul 88

Textul propus de Comisie

Amendamentul

(88) Transferurile care nu pot fi considerate ca fiind frecvente sau masive, ar putea, de asemenea, să fie efectuate în scopul realizării intereselor legitime urmărite de operator sau de persoana împuternicită de către operator, după ce aceștia au evaluat toate circumstanțele aferente transferului de date. Pentru prelucrarea datelor în scopuri de cercetare istorică, statistică și științifică, ar trebui să se ia în considerare așteptările legitime ale societății cu privire la creșterea nivelului de cunoștințe.

Pentru prelucrarea datelor în scopuri de cercetare istorică, statistică și științifică, ar trebui să se ia în considerare așteptările legitime ale societății cu privire la creșterea nivelului de cunoștințe.

Amendamentul  62

Propunere de regulament

Considerentul 89

Textul propus de Comisie

Amendamentul

(89) În orice caz, atunci când Comisia nu a luat o decizie cu privire la nivelul adecvat de protecție a datelor într-o țară terță, operatorul sau persoana împuternicită de către operator ar trebui să utilizeze soluții care să ofere persoanelor vizate garanția că vor continua să beneficieze de drepturi fundamentale și garanții în ceea ce privește prelucrarea datelor lor în Uniune, odată ce aceste date au fost transferate.

(89) În orice caz, atunci când Comisia nu a luat o decizie cu privire la nivelul adecvat de protecție a datelor într-o țară terță, operatorul sau persoana împuternicită de operator ar trebui să utilizeze soluții care să ofere persoanelor vizate garanția obligatorie din punct de vedere juridic că vor continua să beneficieze de drepturi fundamentale și garanții în ceea ce privește prelucrarea datelor lor în Uniune, odată ce aceste date au fost transferate, în măsura în care prelucrarea nu are un caracter masiv, repetitiv și structural. Garanția ar trebui să includă despăgubiri financiare în cazul pierderii datelor sau al accesului sau prelucrării neautorizate a acestora, precum și obligația, indiferent de legislația națională, de a furniza informații detaliate și complete cu privire la toate accesele la date de către autoritățile publice din țara terță.

 

Amendamentul  63

Propunere de regulament

Considerentul 90

Textul propus de Comisie

Amendamentul

(90) Unele țări terțe au adoptat legi, regulamente și alte instrumente legislative care au drept obiectiv să reglementeze în mod direct activitățile de prelucrare a datelor persoanelor fizice și juridice aflate sub jurisdicția statelor membre. Aplicarea extrateritorială a acestor legi, regulamente și alte instrumente legislative poate încălca dreptul internațional și poate împiedica asigurarea protecției persoanelor fizice garantată în Uniune prin prezentul regulament. . Transferurile ar trebui să fie permise numai în cazul îndeplinirii condițiilor prevăzute de prezentul regulament pentru un transfer către țări terțe. Acesta ar putea fi cazul, inter alia, atunci când divulgarea este necesară dintr-un motiv important de interes public recunoscut în dreptul Uniunii sau în legislația unui stat membru care se aplică operatorului. Condițiile în care există un motiv important de interes public ar trebui precizate pe larg de către Comisie într-un act delegat.

(90) Unele țări terțe au adoptat legi, regulamente și alte instrumente legislative care au drept obiectiv să reglementeze în mod direct activitățile de prelucrare a datelor persoanelor fizice și juridice aflate sub jurisdicția statelor membre. Aplicarea extrateritorială a acestor legi, regulamente și alte instrumente legislative poate încălca dreptul internațional și poate împiedica asigurarea protecției persoanelor fizice garantată în Uniune prin prezentul regulament. Transferurile ar trebui să fie permise numai în cazul îndeplinirii condițiilor prevăzute de prezentul regulament pentru un transfer către țări terțe. Acesta ar putea fi cazul, inter alia, atunci când divulgarea este necesară dintr-un motiv important de interes public recunoscut în dreptul Uniunii sau în legislația unui stat membru care se aplică operatorului. Condițiile în care există un motiv important de interes public ar trebui precizate pe larg de către Comisie într-un act delegat. În cazurile în care operatorii și persoanele împuternicite de către operatori se confruntă cu un conflict de competență între Uniune, pe de o parte, și o țară terță, pe de altă parte, în ceea ce privește cerințele de conformitate, Comisia ar trebui să se asigure că dreptul Uniunii prevalează în toate situațiile. Comisia ar trebui să ofere îndrumare și asistență operatorului și persoanei împuternicite de către operator și ar trebui să încerce să soluționeze conflictul de competență cu țara terță în cauză.

Amendamentul  64

Propunere de regulament

Considerentul 92

Textul propus de Comisie

Amendamentul

(92) Instituirea în statele membre a unor autorități de supraveghere care să își exercite atribuțiile în deplină independență este un element esențial al protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal. Statele membre pot institui mai multe autorități de supraveghere, pentru a reflecta structura lor constituțională, organizatorică și administrativă.

(92) Instituirea în statele membre a unor autorități de supraveghere care să își exercite atribuțiile în deplină independență este un element esențial al protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal. Statele membre pot institui mai multe autorități de supraveghere, pentru a reflecta structura lor constituțională, organizatorică și administrativă. O astfel de autoritate dispune de resurse financiare și de personal adecvate pentru a-și îndeplini pe deplin rolul, ținând seama de mărimea populației și de volumul de prelucrare a datelor cu caracter personal.

Amendamentul  65

Propunere de regulament

Considerentul 94

Textul propus de Comisie

Amendamentul

(94) Fiecare autoritate de supraveghere ar trebui să beneficieze de resurse financiare și umane adecvate, de localuri și de infrastructura necesară pentru îndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistența reciprocă și cooperarea cu alte autorități de supraveghere în întreaga Uniune.

(94) Fiecare autoritate de supraveghere ar trebui să beneficieze de resurse financiare și umane adecvate, asigurându-se în special că personalul dispune de competențe tehnice și juridice adecvate, de localuri și de infrastructuri necesare pentru îndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistența reciprocă și cooperarea cu alte autorități de supraveghere în întreaga Uniune.

Amendamentul  66

Propunere de regulament

Considerentul 95

Textul propus de Comisie

Amendamentul

(95) Condițiile generale pentru membrii autorității de supraveghere ar trebui stabilite de lege în fiecare stat membru și ar trebui, în special, să prevadă că acești membri ar trebui să fie numiți de parlamentul sau de guvernul statului membru și să includă dispoziții privind calificarea personală și funcția membrilor respectivi.

(95) Condițiile generale pentru membrii autorității de supraveghere ar trebui stabilite de lege în fiecare stat membru și ar trebui, în special, să prevadă că acești membri ar trebui să fie numiți de parlamentul sau de guvernul statului membru, acordându-se atenția cuvenită minimizării posibilității de interferență politică, și să includă dispoziții privind calificarea personală, prevenirea conflictelor de interese și funcția membrilor respectivi.

Amendamentul  67

Propunere de regulament

Considerentul 97

Textul propus de Comisie

Amendamentul

(97) În cazul în care, în Uniune, prelucrarea datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de către operator se efectuează în mai multe state membre, o singură autoritate de supraveghere ar trebui să aibă competența de a monitoriza activitățile operatorului sau ale persoanei împuternicite de către operator în întreaga Uniune și de a adopta deciziile aferente, în scopul intensificării aplicării consecvente, al furnizării securității juridice și al reducerii sarcinii administrative pentru astfel de operatori și de persoane împuternicite de către operatori.

(97) În cazul în care, în Uniune, prelucrarea datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de către operator se efectuează în mai multe state membre, o singură autoritate de supraveghere ar trebui să dețină rolul de ghișeu unic și autoritate principală responsabilă de supravegherea operatorului sau a persoanei împuternicite de către operator în întreaga Uniune și să adopte deciziile aferente, în scopul intensificării aplicării consecvente, al furnizării securității juridice și al reducerii sarcinii administrative pentru astfel de operatori și de persoane împuternicite de operatori.

Amendamentul  68

Propunere de regulament

Considerentul 98

Textul propus de Comisie

Amendamentul

(98) Autoritatea competentă, care furnizează un astfel de ghișeu unic, ar trebui să fie autoritatea de supraveghere a statului membru în care operatorul sau persoana împuternicită de către operator își are sediul principal.

(98) Autoritatea principală, care furnizează un astfel de ghișeu unic, ar trebui să fie autoritatea de supraveghere a statului membru în care operatorul sau persoana împuternicită de către operator își are sediul principal sau reprezentantul său. Comitetul european pentru protecția datelor poate, în anumite cazuri, desemna autoritatea principală prin intermediul mecanismului pentru asigurarea coerenței, la cererea unei autorități competente.

Amendamentul  69

Propunere de regulament

Considerentul 98 a (nou)

Textul propus de Comisie

Amendamentul

 

(98a) Persoanele vizate ale căror date cu caracter personal sunt prelucrate de un operator de date sau de o persoană împuternicită de către operator într-un alt stat membru ar trebui să aibă posibilitatea de a adresa o plângere autorității de supraveghere la alegerea lor. Autoritatea principală de protecție a datelor ar trebui să-și coordoneze activitatea cu cea a celorlalte autorități implicate.

Amendamentul  70

Propunere de regulament

Considerentul 101

Textul propus de Comisie

Amendamentul

(101) Fiecare autoritate de supraveghere ar trebui să răspundă plângerilor depuse de orice persoană vizată și ar trebui să investigheze cazul. Investigația în urma unei plângeri ar trebui să fie efectuată, sub control judiciar, în măsura în care este necesar, în funcție de caz. Autoritatea de supraveghere ar trebui să informeze persoana vizată cu privire la evoluția și soluționarea plângerii într-un termen rezonabil. În eventualitatea în care cazul necesită o investigare suplimentară sau coordonarea cu o altă autoritate de supraveghere, ar trebui să se furnizeze informații intermediare persoanei vizate.

(101) Fiecare autoritate de supraveghere ar trebui să răspundă plângerilor depuse de orice persoană vizată sau asociație care acționează în interesul public și ar trebui să investigheze cazul. Investigația în urma unei plângeri ar trebui să fie efectuată, sub control judiciar, în măsura în care este necesar, în funcție de caz. Autoritatea de supraveghere ar trebui să informeze persoana vizată sau asociația cu privire la evoluția și soluționarea plângerii într-un termen rezonabil. În eventualitatea în care cazul necesită o investigare suplimentară sau coordonarea cu o altă autoritate de supraveghere, ar trebui să se furnizeze informații intermediare persoanei vizate.

Amendamentul  71

Propunere de regulament

Considerentul 105

Textul propus de Comisie

Amendamentul

(105) Pentru a se asigura aplicarea consecventă a prezentului regulament în întreaga Uniune, ar trebui să se instituie un mecanism pentru asigurarea coerenței în cadrul căruia autoritățile de supraveghere și Comisia să coopereze. Acest mecanism ar trebui să se aplice, în special, în cazul în care o autoritate de supraveghere intenționează să ia o măsură în ceea ce privește operațiunile de prelucrare care au legătură cu oferirea de bunuri sau servicii persoanelor vizate în mai multe state membre sau cu monitorizarea comportamentului unor astfel de persoane vizate sau care ar putea afecta în mod substanțial libera circulație a datelor cu caracter personal. Mecanismul ar trebui să se aplice, de asemenea, în cazul în care o autoritate de supraveghere sau Comisia solicită ca aspectul respectiv să fie abordat în cadrul mecanismului pentru asigurarea coerenței. Acest mecanism nu ar trebui să aducă atingere măsurilor pe care Comisia le poate adopta în exercitarea competențelor care îi revin în temeiul tratatelor.

(105) Pentru a se asigura aplicarea consecventă a prezentului regulament în întreaga Uniune, ar trebui să se instituie un mecanism pentru asigurarea coerenței în cadrul căruia autoritățile de supraveghere și Comisia să coopereze. Acest mecanism ar trebui să se aplice, în special, în cazul în care o autoritate de supraveghere intenționează să ia o măsură în ceea ce privește operațiunile de prelucrare care au legătură cu oferirea de bunuri sau servicii persoanelor vizate în mai multe state membre sau cu monitorizarea comportamentului unor astfel de persoane vizate sau care ar putea afecta în mod substanțial libera circulație a datelor cu caracter personal. Mecanismul ar trebui să se aplice, de asemenea, în cazul în care o autoritate de supraveghere sau Comisia solicită ca aspectul respectiv să fie abordat în cadrul mecanismului pentru asigurarea coerenței. În plus, persoanele vizate ar trebui să aibă dreptul de a solicita coerență în cazul în care consideră că o măsură luată de autoritatea de protecție a datelor a unui stat membru nu îndeplinește acest criteriu. Acest mecanism nu ar trebui să aducă atingere măsurilor pe care Comisia le poate adopta în exercitarea competențelor care îi revin în temeiul tratatelor.

Amendamentul                     72

Propunere de regulament

Considerentul 106 a (nou)

Textul propus de Comisie

Amendamentul

 

(106a) Pentru a asigura punerea în aplicare coerentă a prezentului regulament, Comitetul european pentru protecția datelor poate adopta, în cazuri specifice, o măsură obligatorie pentru autoritatea de supraveghere competentă.

Amendamentul  73

Propunere de regulament

Considerentul 107

Textul propus de Comisie

Amendamentul

(107) Pentru a se asigura conformitatea cu prezentul regulament, Comisia poate adopta un aviz privind aspectul respectiv sau o decizie, prin care să se solicite autorității de supraveghere suspendarea proiectului său de măsură.

eliminat

Amendamentul  74

Propunere de regulament

Considerentul 110

Textul propus de Comisie

Amendamentul

(110) La nivelul Uniunii, ar trebui să se înființeze Comitetul european pentru protecția datelor. Acesta ar trebui să înlocuiască Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, instituit prin Directiva 95/46/CE. Acesta ar trebui să fie format din șefii autorității de supraveghere a fiecărui stat membru și din șeful Autorității Europene pentru Protecția Datelor. Comisia ar trebui să participe la activitățile sale. Comitetul european pentru protecția datelor ar trebui să contribuie la aplicarea consecventă a prezentului regulament în întreaga Uniune, inclusiv prin oferirea de consultanță Comisiei și prin promovarea cooperării autorităților de supraveghere în întreaga Uniune. Comitetul european pentru protecția datelor ar trebui să acționeze în mod independent în exercitarea sarcinilor sale.

(110) La nivelul Uniunii, ar trebui să se înființeze Comitetul european pentru protecția datelor. Acesta ar trebui să înlocuiască Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, instituit prin Directiva 95/46/CE. Acesta ar trebui să fie format din șefii autorității de supraveghere a fiecărui stat membru și din șeful Autorității Europene pentru Protecția Datelor. Comitetul european pentru protecția datelor ar trebui să contribuie la aplicarea consecventă a prezentului regulament în întreaga Uniune, inclusiv prin oferirea de consultanță instituțiilor Uniunii Europene și prin promovarea cooperării autorităților de supraveghere în întreaga Uniune, inclusiv a coordonării operațiunilor comune. Comitetul european pentru protecția datelor ar trebui să acționeze în mod independent în exercitarea sarcinilor sale. Comitetul european pentru protecția datelor ar trebui să consolideze dialogul cu părțile interesate, precum asociațiile persoanelor vizate, organizațiile consumatorilor, operatorii de date și alte părți interesate relevante și experți.

Amendamentul  75

Propunere de regulament

Considerentul 111

Textul propus de Comisie

Amendamentul

(111) Orice persoană vizată ar trebui să aibă dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru și dreptul la o cale de atac, în cazul în care consideră că drepturile pe care le are în temeiul prezentului regulament sunt încălcate sau în cazul în care autoritatea de supraveghere nu reacționează la o plângere sau nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate.

(111) Persoanele vizate ar trebui să aibă dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru și dreptul la o cale de atac efectivă în conformitate cu articolul 47 din Carta drepturilor fundamentale, în cazul în care consideră că drepturile pe care le are în temeiul prezentului regulament sunt încălcate sau în cazul în care autoritatea de supraveghere nu reacționează la o plângere sau nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate.

Amendamentul  76

Propunere de regulament

Considerentul 112

Textul propus de Comisie

Amendamentul

(112) Orice organism, organizație sau asociație care are drept obiectiv asigurarea protecției drepturilor și intereselor persoanelor vizate în ceea ce privește protecția datelor acestora și este constituit(ă) în conformitate cu legislația unui stat membru ar trebui să aibă dreptul de a depune o plângere la o autoritate de supraveghere sau să exercite dreptul la o cale de atac în numele persoanelor vizate sau să depună, independent de plângerea înaintată de o persoană vizată, o plângere în nume propriu în cazul în care consideră că a avut loc o încălcare a securității datelor cu caracter personal.

(112) Orice organism, organizație sau asociație care acționează în interesul public și este constituit(ă) în conformitate cu legislația unui stat membru ar trebui să aibă dreptul de a depune o plângere la o autoritate de supraveghere în numele persoanelor vizate, cu acordul acestora, sau să exercite dreptul la o cale de atac dacă sunt împuternicite de către persoana vizată sau să depună, independent de plângerea înaintată de o persoană vizată, o plângere în nume propriu în cazul în care consideră că a avut loc o încălcare a prezentului regulament.

 

Amendamentul 77

Propunere de regulament

Considerentul 114

Textul propus de Comisie

Amendamentul

(114) Pentru a se consolida protecția judiciară a persoanelor vizate în situațiile în care autoritatea de supraveghere competentă este stabilită în alt stat membru decât cel în care persoana vizată își are reședința, persoana vizată poate solicita oricărui organism, oricărei organizații sau oricărei asociații care are drept obiectiv asigurarea protecției drepturilor și intereselor persoanelor vizate în ceea ce privește protecția datelor acestora să introducă o acțiune în numele său împotriva autorității de supraveghere respective în fața instanței competente din celălalt stat membru.

(114) Pentru a se consolida protecția judiciară a persoanelor vizate în situațiile în care autoritatea de supraveghere competentă este stabilită în alt stat membru decât cel în care persoana vizată își are reședința, persoana vizată poate împuternici orice organism, organizație sau asociație care acționează în interesul public să introducă o acțiune în numele său împotriva autorității de supraveghere respective în fața instanței competente din celălalt stat membru.

Amendamentul  78

Propunere de regulament

Considerentul 115

Textul propus de Comisie

Amendamentul

(115) În situațiile în care autoritatea de supraveghere competentă stabilită în alt stat membru nu acționează sau a adoptat măsuri insuficiente în legătură cu o plângere, persoana vizată poate solicita autorității de supraveghere din statul membru în care își are reședința obișnuită să introducă o acțiune împotriva autorității de supraveghere respective în fața instanței competente din celălalt stat membru. Autoritatea de supraveghere poate decide, sub control judiciar, dacă este sau nu este oportun să se dea curs cererii.

(115) În situațiile în care autoritatea de supraveghere competentă stabilită în alt stat membru nu acționează sau a adoptat măsuri insuficiente în legătură cu o plângere, persoana vizată poate solicita autorității de supraveghere din statul membru în care își are reședința obișnuită să introducă o acțiune împotriva autorității de supraveghere respective în fața instanței competente din celălalt stat membru. Acest lucru nu se aplică persoanelor care nu au reședința pe teritoriul UE. Autoritatea de supraveghere poate decide, sub control judiciar, dacă este sau nu este oportun să se dea curs cererii.

Amendamentul 79

Propunere de regulament

Considerentul 116

Textul propus de Comisie

Amendamentul

(116) În ceea ce privește acțiunile inițiate împotriva unui operator sau unei persoane împuternicite de către operator, reclamantul ar trebui să aibă posibilitatea de a introduce acțiunea în fața instanțelor din statele membre în care operatorul sau persoana împuternicită de către operator are un sediu sau în care persoana vizată își are reședința, cu excepția cazului în care operatorul este o autoritate publică care acționează în exercitarea competențelor sale publice.

(116) În ceea ce privește acțiunile inițiate împotriva unui operator sau unei persoane împuternicite de către operator, reclamantul ar trebui să aibă posibilitatea de a introduce acțiunea în fața instanțelor din statele membre în care operatorul sau persoana împuternicită de către operator are un sediu sau, în cazul în care persoana vizată dispune de o reședință pe teritoriul UE, în statul membru în care își are reședința, cu excepția cazului în care operatorul este o autoritate publică a Uniunii sau a unui stat membru care acționează în exercitarea competențelor sale publice.

Amendamentul  80

Propunere de regulament

Considerentul 118

Textul propus de Comisie

Amendamentul

(118) Orice daună pe care o persoană o poate suferi din cauza unei prelucrări ilegale ar trebui să fie compensată de operator sau de persoana împuternicită de către operator, care poate fi exonerat(ă) de răspundere dacă dovedește că nu este răspunzător (răspunzătoare) pentru prejudiciu, în special în cazul în care acesta (aceasta) stabilește vina persoanei vizate sau în caz de forță majoră.

(118) Orice daună, patrimonială sau nepatrimonială, pe care o persoană o poate suferi ca urmare a unei prelucrări ilegale ar trebui să fie despăgubită de operator sau de persoana împuternicită de către operator, care poate fi exonerat(ă) de răspundere doar dacă dovedește că nu este răspunzător (răspunzătoare) pentru prejudiciu, în special în cazul în care acesta (aceasta) stabilește vina persoanei vizate sau în caz de forță majoră.

Amendamentul  81

Propunere de regulament

Considerentul 119

Textul propus de Comisie

Amendamentul

(119) Ar trebui impuse sancțiuni oricărei persoane, de drept privat sau public, care nu respectă prezentul regulament. Statele membre ar trebui să se asigure că sancțiunile sunt eficace, proporționale și cu efect de descurajare și ar trebui să adopte toate măsurile pentru punerea în aplicare a sancțiunilor.

(119) Ar trebui impuse sancțiuni oricărei persoane, de drept privat sau public, care nu respectă prezentul regulament. Statele membre ar trebui să se asigure că sancțiunile sunt eficace, proporționale și cu efect de descurajare și ar trebui să adopte toate măsurile pentru punerea în aplicare a sancțiunilor. Normele privind sancțiunile ar trebui să facă obiectul unor garanții procedurale adecvate în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale, inclusiv cele referitoare la dreptul la o cale de atac efectivă în justiție, la un proces echitabil, precum și principiul ne bis in idem.

Amendamentul  82

Propunere de regulament

Considerentul 119 a (nou)

Textul propus de Comisie

Amendamentul

 

(119a) La aplicarea sancțiunilor, statele membre ar trebui să dovedească respectarea deplină a garanțiilor procedurale adecvate, inclusiv dreptul la o cale de atac efectivă în justiție, la un proces echitabil, precum și principiul ne bis in idem.

Amendamentul  83

Propunere de regulament

Considerentul 121

Textul propus de Comisie

Amendamentul

(121) Prelucrarea datelor cu caracter personal exclusiv în scopuri jurnalistice, artistice sau literare ar trebui să îndeplinească criteriile pentru aplicarea unor derogări de la cerințele anumitor dispoziții din prezentul regulament, în vederea stabilirii unui echilibru între dreptul la protecția datelor cu caracter personal și dreptul la libertatea de exprimare și, mai ales, dreptul de a primi și de a comunica informații, astfel cum este garantat în special prin articolul 11 din Carta drepturilor fundamentale a Uniunii Europene. Acest lucru ar trebui să se aplice în special prelucrării datelor cu caracter personal din domeniul audiovizualului, precum și din arhivele de știri și din bibliotecile de ziare. Prin urmare, statele membre ar trebui să adopte măsuri legislative care să prevadă excepțiile și derogările necesare în vederea asigurării echilibrului între aceste drepturi fundamentale. Astfel de excepții și derogări ar trebui să fie adoptate de statele membre în ceea ce privește principiile generale, drepturile persoanelor vizate, operatorul și persoana împuternicită de operator, transferul de date cu caracter personal către țări terțe sau organizații internaționale, autoritățile de supraveghere independente, precum și cooperarea și coerența. Acest lucru nu trebuie totuși să determine statele membre să stabilească derogări de la celelalte dispoziții ale prezentului regulament. Pentru a ține seama de importanța dreptului la libertatea de exprimare în fiecare societate democratică, este necesar ca noțiunile legate de această libertate, cum ar fi jurnalismul, să fie interpretate în sens larg. Prin urmare, în scopul excepțiilor și derogărilor care urmează să fie stabilite în prezentul regulament, statele membre ar trebui să clasifice drept „jurnalistice” activitățile al căror scop este de a comunica publicului informații, opinii și idei, indiferent de suportul utilizat pentru transmiterea acestora. Aceste activități nu ar trebui să se limiteze la cele desfășurate de societăți de media și pot include activități cu sau fără scop lucrativ.

(121) Ori de câte ori este necesar, excepțiile sau derogările de la cerințele anumitor dispoziții din prezentul regulament ar trebui să acordate în vederea stabilirii unui echilibru între dreptul la protecția datelor cu caracter personal și dreptul la libertatea de exprimare și, mai ales, dreptul de a primi și de a comunica informații, astfel cum este garantat în special prin articolul 11 din Carta drepturilor fundamentale a Uniunii Europene. Prin urmare, statele membre ar trebui să adopte măsuri legislative care să prevadă excepțiile și derogările necesare în vederea asigurării echilibrului între aceste drepturi fundamentale. Astfel de excepții și derogări ar trebui să fie adoptate de statele membre în ceea ce privește principiile generale, drepturile persoanelor vizate, operatorul și persoana împuternicită de operator, transferul de date cu caracter personal către țări terțe sau organizații internaționale, autoritățile de supraveghere independente, cooperarea și coerența și situațiile specifice de prelucrare a datelor. Acest lucru nu trebuie totuși să determine statele membre să stabilească derogări de la celelalte dispoziții ale prezentului regulament. Pentru a ține seama de importanța dreptului la libertatea de exprimare în fiecare societate democratică, este necesar ca noțiunile legate de această libertate ă acopere în sens larg toate activitățile al căror scop este de a comunica publicului informații, opinii și idei, indiferent de suportul utilizat pentru transmiterea acestora, ținând seama, de asemenea, de dezvoltarea tehnologică. Aceste activități nu ar trebui să se limiteze la cele desfășurate de societăți de media și pot include activități cu sau fără scop lucrativ.

Amendamentul  84

Propunere de regulament

Considerentul 122 a (nou)

Textul propus de Comisie

Amendamentul

 

(122a) Un profesionist care prelucrează date cu caracter personal ar trebui să primească, în măsura în care acest lucru este posibil, date anonimizate sau prezentate sub pseudonim, astfel încât identitatea să nu fie cunoscută decât de către medicul generalist sau specialist care a solicitat prelucrarea datelor.

Amendamentul  85

Propunere de regulament

Considerentul 123

Textul propus de Comisie

Amendamentul

(123) Prelucrarea datelor cu caracter personal privind sănătatea poate fi necesară din motive de interes public în domeniile sănătății publice, fără consimțământul persoanei vizate. În acest context, conceptul de „sănătate publică” ar trebui interpretat astfel cum este definit în Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum și la sănătatea și siguranța la locul de muncă, adică toate elementele referitoare la sănătate și anume starea de sănătate, inclusiv morbiditatea sau handicapul, factorii determinanți care au efect asupra stării de sănătate, necesitățile în domeniul asistenței medicale, resursele alocate asistenței medicale, furnizarea asistenței medicale și asigurarea accesului universal la aceasta, precum și cheltuielile și sursele de finanțare în domeniul sănătății și cauzele mortalității. Această prelucrare a datelor cu caracter personal privind sănătatea din motive de interes public nu ar trebui să ducă la prelucrarea acestor date în alte scopuri de către părți terțe, cum ar fi angajatorii, societățile de asigurări și băncile.

(123) Prelucrarea datelor cu caracter personal privind sănătatea poate fi necesară din motive de interes public în domeniile sănătății publice, fără consimțământul persoanei vizate. În acest context, conceptul de „sănătate publică” ar trebui interpretat astfel cum este definit în Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului1, adică toate elementele referitoare la sănătate și anume starea de sănătate, inclusiv morbiditatea sau handicapul, factorii determinanți care au efect asupra stării de sănătate, necesitățile în domeniul asistenței medicale, resursele alocate asistenței medicale, furnizarea asistenței medicale și asigurarea accesului universal la aceasta, precum și cheltuielile și sursele de finanțare în domeniul sănătății și cauzele mortalității.

 

1 Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum și la sănătatea și siguranța la locul de muncă (JO L 354, 31.12.2008, p. 70)

Amendamentul  86

Propunere de regulament

Considerentul 123 a (nou)

Textul propus de Comisie

Amendamentul

 

(123a) Prelucrarea datelor cu caracter personal privind sănătatea, care reprezintă o categorie specială de date, poate fi necesară în scopuri de cercetare istorică, statistică sau științifică. De aceea, prezentul regulament prevede o derogare de la această cerință în cazul în care cercetarea servește unui interes public ridicat

Amendamentul  87

Propunere de regulament

Considerentul 124

Textul propus de Comisie

Amendamentul

(124) Principiile generale privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie aplicabile și în contextul ocupării forței de muncă. Prin urmare, pentru a reglementa activitățile de prelucrare a datelor cu caracter personal ale angajaților în contextul ocupării forței de muncă, statele membre ar trebui să aibă posibilitatea, în limitele stabilite de prezentul regulament, de a adopta pe cale legislativă norme specifice de prelucrare a datelor cu caracter personal în sectorul ocupării forței de muncă.

(124) Principiile generale privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie aplicabile și în contextul ocupării forței de muncă și al securității sociale. Statele membre ar trebui să aibă posibilitatea de a reglementa activitățile de prelucrare a datelor cu caracter personal ale angajaților în contextul ocupării forței de muncă și al securității sociale, în conformitate cu normele și standardele minime stabilite prin prezentul regulament. În măsura în care în statul membru respectiv există un temei juridic pentru reglementarea aspectelor legate de ocuparea forței de muncă printr-un acord între reprezentanții angajaților și conducerea întreprinderii sau a întreprinderii care exercită controlul asupra unui grup de întreprinderi (acord colectiv) sau în conformitate cu Directiva 2009/38/CE a Parlamentului European și a Consiliului1, prelucrarea datelor cu caracter personal în contextul ocupării forței de muncă ar trebui să poată fi reglementată și printr-un astfel de acord.

 

1Directiva 2009/38/CE a Parlamentului European și a Consiliului din 6 mai 2009 privind instituirea unui comitet european de întreprindere sau a unei proceduri de informare și consultare a lucrătorilor în întreprinderile și grupurile de întreprinderi de dimensiune comunitară (JO L 122, 16.5.2009, p. 28).

Amendamentul  88

Propunere de regulament

Considerentul 125 a (nou)

Textul propus de Comisie

Amendamentul

 

(125a) Datele cu caracter personal pot fi, de asemenea, prelucrate ulterior de servicii de arhivare a căror sarcină principală sau obligatorie este colectarea, conservarea, oferirea de informații cu privire la acestea, exploatarea și diseminarea arhivelor în interes public. Legislația statelor membre ar trebui să reconcilieze dreptul la protecția datelor cu caracter personal cu normele privind arhivele și accesul public la informații administrative. Statele membre ar trebui să încurajeze elaborarea, în special de către Grupul European de arhive, a unor norme care să garanteze confidențialitatea datelor față de părți terțe, precum și autenticitatea, integritatea și păstrarea corectă a datelor.

Amendamentul                     89

Propunere de regulament

Considerentul 126

Textul propus de Comisie

Amendamentul

(126) În sensul prezentului regulament, cercetarea științifică ar trebui să includă cercetarea fundamentală, cercetarea aplicată și cercetarea finanțată din surse private și ar trebui, în plus, să ia în considerare obiectivul Uniunii de creare a unui spațiu european de cercetare, astfel cum este menționat la articolul 179 alineatul (1) din Tratatul privind funcționarea Uniunii Europene.

(126) În sensul prezentului regulament, cercetarea științifică ar trebui să includă cercetarea fundamentală, cercetarea aplicată și cercetarea finanțată din surse private și ar trebui, în plus, să ia în considerare obiectivul Uniunii de creare a unui spațiu european de cercetare, astfel cum este menționat la articolul 179 alineatul (1) din Tratatul privind funcționarea Uniunii Europene. Prelucrarea datelor cu caracter personal în scopuri de cercetare istorică, statistică sau științifică nu ar trebui să ducă la prelucrarea datelor cu caracter personal în alte scopuri, cu excepția cazurilor în care există consimțământul persoanei vizate sau a celor întemeiate pe dreptul Uniunii sau legislația statelor membre.

Amendamentul  90

Propunere de regulament

Considerentul 128

Textul propus de Comisie

Amendamentul

(128) Conform articolului 17 din Tratatul privind funcționarea Uniunii Europene, prezentul regulament respectă și nu aduce atingere statutului de care beneficiază, în temeiul dreptului național, bisericile și asociațiile sau comunitățile religioase din statele membre. Prin urmare, atunci când o biserică dintr-un stat membru aplică, la data intrării în vigoare a prezentului regulament, norme cuprinzătoare de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, aceste norme existente ar trebui să se aplice în continuare, în măsura în care se asigură conformitatea lor cu prezentul regulament. Ar trebui să se solicite acestor biserici și asociații religioase să prevadă instituirea unei autorități de supraveghere complet independente.

(128) Conform articolului 17 din Tratatul privind funcționarea Uniunii Europene, prezentul regulament respectă și nu aduce atingere statutului de care beneficiază, în temeiul dreptului național, bisericile și asociațiile sau comunitățile religioase din statele membre. Prin urmare, atunci când o biserică dintr-un stat membru aplică, la data intrării în vigoare a prezentului regulament, norme adecvate de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, aceste norme existente ar trebui să se aplice în continuare, în măsura în care se asigură conformitatea lor cu prezentul regulament și sunt recunoscute ca fiind conforme.

Amendamentul  91

Propunere de regulament

Considerentul 129

Textul propus de Comisie

Amendamentul

(129) Pentru a se realiza obiectivele prezentului regulament, și anume protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, dreptul acestora la protecția datelor cu caracter personal, și pentru a se garanta libera circulație a datelor cu caracter personal pe teritoriul Uniunii, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui să fie delegată Comisiei. În special, ar trebui adoptate acte delegate în ceea ce privește legalitatea prelucrării; specificarea criteriilor și a condițiilor de obținere a consimțământului unui minor; prelucrarea unor categorii speciale de date; specificarea criteriilor și a condițiilor aplicabile cererilor în mod vădit excesive și taxelor pentru exercitarea drepturilor persoanelor vizate; criteriile și cerințele aplicabile pentru informarea persoanei vizate și dreptul de acces; „dreptul de a fi uitat” și dreptul la ștergere; măsurile bazate pe crearea de profiluri; criteriile și cerințele privind responsabilitatea operatorului și protecția datelor începând cu momentul conceperii și protecția implicită a datelor; persoana împuternicită de operator; criteriile și cerințele privind documentația și securitatea prelucrării; criteriile și cerințele aplicabile pentru stabilirea unei încălcări a securității datelor cu caracter personal și pentru notificarea acesteia către autoritatea de supraveghere, precum și circumstanțele în care o încălcare a securității datelor cu caracter personal ar putea aduce atingere persoanei vizate; criteriile și condițiile pentru operațiunile de prelucrare care necesită o evaluare a impactului asupra protecției datelor; criteriile și cerințele pentru determinarea unui nivel ridicat al riscurilor specifice care necesită o consultare prealabilă; desemnarea și sarcinile responsabilului cu protecția datelor; codurile de conduită; criteriile și cerințele privind mecanismele de certificare; criteriile și cerințele pentru transferurile prin intermediul regulilor corporatiste obligatorii; derogările aplicabile transferului; sancțiunile administrative; prelucrarea în scopuri medicale; prelucrarea în contextul ocupării forței de muncă și prelucrarea în scopuri de cercetare istorică, statistică și științifică. Este deosebit de important ca, pe durata activităților pregătitoare, Comisia să desfășoare consultări adecvate, inclusiv la nivel de experți. Atunci când pregătește și elaborează acte delegate, Comisia trebuie să asigure transmiterea simultană, la timp și în mod corespunzător a documentelor relevante către Parlamentul European și către Consiliu.

(129) Pentru a se realiza obiectivele prezentului regulament, și anume protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, a dreptului acestora la protecția datelor cu caracter personal, și pentru a se garanta libera circulație a datelor cu caracter personal pe teritoriul Uniunii, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui să fie delegată Comisiei. În special, ar trebui adoptate acte delegate în ceea ce privește specificarea criteriilor și a condițiilor de obținere a consimțământului unui minor; dreptul la ștergere; declararea că codurile de conduită sunt conforme cu regulamentul; criteriile și cerințele privind mecanismele de certificare; nivelul adecvat de protecție acordat de o țară terță sau de o organizație internațională; criteriile și cerințele pentru transferurile prin intermediul regulilor corporatiste obligatorii; sancțiunile administrative; prelucrarea în scopuri medicale și prelucrarea în contextul ocupării forței de muncă. Este deosebit de important ca, pe durata activităților pregătitoare, Comisia să desfășoare consultări adecvate, inclusiv la nivel de experți și, în special, cu Comitetul european pentru protecția datelor. Atunci când pregătește și elaborează acte delegate, Comisia ar trebui să asigure transmiterea simultană, la timp și adecvată a documentelor relevante către Parlamentul European și Consiliu.

 

Amendamentul  92

Propunere de regulament

Considerentul 130

Textul propus de Comisie

Amendamentul

(130) În vederea asigurării unor condiții uniforme de punere în aplicare a prezentului regulament, Comisia ar trebui investită cu competențe de executare pentru a stabili: formulare tip legate de prelucrarea datelor cu caracter personal ale minorilor; proceduri standard și formulare tip pentru exercitarea drepturilor persoanelor vizate; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces; dreptul la portabilitatea datelor; formulare tip în ceea ce privește responsabilitatea operatorului de a asigura protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cerințe specifice privind securitatea prelucrării; formatul și procedurile standard pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru comunicarea unei încălcări a securității datelor cu caracter personal către persoana vizată; standarde și proceduri pentru o evaluare a impactului asupra protecției datelor; formele și procedurile de autorizare prealabilă și de consultare prealabilă; standarde tehnice și mecanisme de certificare; nivelul adecvat de protecție oferit de o țară terță, de un teritoriu sau de un sector de prelucrare din țara terță respectivă sau de o organizație internațională; divulgările de informații neautorizate de dreptul Uniunii; asistența reciprocă; operațiunile comune; deciziile în cadrul mecanismului pentru asigurarea coerenței. Competențele respective ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie. În acest context, Comisia ar trebui să ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii.

(130) În vederea asigurării unor condiții uniforme de punere în aplicare a prezentului regulament, Comisia ar trebui investită cu competențe de executare pentru a stabili: formulare tip legate pentru metodele specifice de obținere a consimțământului verificabil în ceea ce privește prelucrarea datelor cu caracter personal ale minorilor; formulare tip pentru comunicarea cu persoanele vizate privind exercitarea drepturilor lor; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces, inclusiv comunicarea datelor cu caracter personal persoanei vizate; formulare tip în materie de documentare, care să fie păstrate de operator și de persoana împuternicită de către operator; formularul tip pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru documentarea unei încălcări a securității datelor cu caracter personal; formele de autorizare prealabilă și informare a autorității de supraveghere. Competențele respective ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului1. În acest context, Comisia ar trebui să ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii.

 

1Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie. În acest context, Comisia ar trebui să ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderile mici și mijlocii.

Amendamentul  93

Propunere de regulament

Considerentul 131

Textul propus de Comisie

Amendamentul

(131) Procedura de examinare ar trebui să fie utilizată pentru a se stabili formulare tip legate de obținerea consimțământului unui minor; proceduri standard și formulare tip pentru exercitarea drepturilor persoanelor vizate; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces; dreptul la portabilitatea datelor; formulare tip în ceea ce privește responsabilitatea operatorului de a asigura protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cerințe specifice privind securitatea prelucrării; formatul și procedurile standard pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru comunicarea unei încălcări a securității datelor cu caracter personal către persoana vizată; standarde și proceduri pentru o evaluare a impactului asupra protecției datelor; formele și procedurile de autorizare prealabilă și de consultare prealabilă; standarde tehnice și mecanisme de certificare; nivelul adecvat de protecție oferit de o țară terță, de un teritoriu sau de un sector de prelucrare din țara terță respectivă sau de o organizație internațională; divulgările de informații neautorizate de dreptul Uniunii; asistența reciprocă; operațiunile comune; deciziile în cadrul mecanismului pentru asigurarea coerenței, dat fiind că aceste acte au un domeniu de aplicare general.

(131) Procedura de examinare ar trebui să fie utilizată pentru a se stabili formulare tip . formulare tip legate pentru metodele specific de obținere a consimțământului verificabil în ceea ce privește prelucrarea datelor cu caracter personal ale minorilor; formulare tip pentru comunicarea cu persoanele vizate privind exercitarea drepturilor lor; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces, inclusiv comunicarea datelor cu caracter personal persoanei vizate; formulare tip în materie de documentare care să fie păstrate de operator și de persoana împuternicită de către operator; formularul tip pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru documentarea unei încălcări a securității datelor cu caracter personal; forme de autorizare prealabilă și informare a autorității de supraveghere, dar fiind că aceste acte au un domeniu de aplicare general.

Amendamentul  94

Propunere de regulament

Considerentul 132

Textul propus de Comisie

Amendamentul

(132) Comisia ar trebui să adopte acte de punere în aplicare imediat aplicabile atunci când acest lucru se impune din motive imperative de urgență, în cazuri justificate în mod corespunzător referitoare la o țară terță, un teritoriu sau un sector de prelucrare din țara terță respectivă sau o organizație internațională care nu asigură un nivel de protecție adecvat și referitoare la aspectele comunicate de către autoritățile de supraveghere în cadrul mecanismului pentru asigurarea coerenței.

eliminat

Amendamentul95

Propunere de regulament

Considerentul 134

Textul propus de Comisie

Amendamentul

(134) Directiva 95/46/CE ar trebui să fie abrogată prin prezentul regulament. Cu toate acestea, deciziile Comisiei care au fost adoptate și autorizațiile care au fost emise de autoritățile de supraveghere pe baza Directivei 95/46/CE ar trebui să rămână în vigoare.

(134) Directiva 95/46/CE ar trebui să fie abrogată prin prezentul regulament. Cu toate acestea, deciziile Comisiei care au fost adoptate și autorizațiile care au fost emise de autoritățile de supraveghere pe baza Directivei 95/46/CE ar trebui să rămână în vigoare. Deciziile adoptate de Comisie și autorizațiile acordate de autoritățile de supraveghere referitoare la transferul de date cu caracter personal către țări terțe în conformitate cu articolul 41 alineatul (8) ar trebui să rămână în vigoare pe o perioadă de tranziție de cinci ani după intrarea în vigoare a prezentului regulament, în cazul în care nu sunt modificate, înlocuite sau abrogate de către Comisie înainte de încheierea acestei perioade.

Amendamentul  96

Propunere de regulament

Articolul 2

Textul propus de Comisie

Amendamentul

Domeniul material de aplicare

Domeniul material de aplicare

(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuate total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.

(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuate total sau parțial prin mijloace automatizate, indiferent de metoda de prelucrare, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.

(2) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:

(2) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:

(a) în cadrul unei activități care nu intră sub incidența dreptului Uniunii, în ceea ce privește, mai ales, securitatea națională;

(a) în cadrul unei activități care nu intră sub incidența dreptului Uniunii;

(b) de către instituțiile, organele, oficiile și agențiile Uniunii;

 

(c) de către statele membre atunci când desfășoară activități care intră sub incidența capitolului 2 din Tratatul privind Uniunea Europeană;

(c) de către statele membre atunci când desfășoară activități care intră sub incidența titlului V capitolul 2 din Tratatul privind Uniunea Europeană;

(d) de către o persoană fizică, fără niciun interes lucrativ, în cadrul activităților sale exclusiv personale sau domestice;

(d) efectuate de către o persoană fizică în cadrul activităților sale exclusiv personale sau domestice. Această derogare se aplică și publicării de date cu caracter personal atunci când se poate estima în mod rezonabil că doar un număr limitat de persoane va avea acces la aceste date.

 

(e) de către autoritățile competente în scopul prevenirii, investigării, identificării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale.

(e) de către autoritățile publice competente în scopul prevenirii, investigării, identificării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale.

(3) Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE, în special a normelor privind răspunderea furnizorilor de servicii intermediari, prevăzute la articolele 12 - 15 din directiva menționată.

(3) Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE, în special a normelor privind răspunderea furnizorilor de servicii intermediari, prevăzute la articolele 12 - 15 din directiva menționată.

Amendamentul  97

Propunere de regulament

Articolul 3

Textul propus de Comisie

Amendamentul

Domeniul teritorial de aplicare

Domeniul teritorial de aplicare

(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii.

(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.

(2) Prezentul regulament se aplică prelucrării datelor cu caracter personal ale persoanelor vizate care își au reședința în Uniune de către un operator care nu este stabilit în Uniune, atunci când activitățile de prelucrare sunt legate de:

(2) Prezentul regulament se aplică prelucrării datelor cu caracter personal ale persoanelor vizate din Uniune de către un operator sau persoana împuternicită de către operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:

(a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune sau

(a) oferirea de bunuri sau servicii, indiferent dacă se solicită o plată de către persoana în cauză, unor astfel de persoane vizate în Uniune sau

(b) urmărirea comportamentului acestora.

(b) monitorizarea persoanelor vizate.

(3) Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care legislația națională a unui stat membru se aplică în temeiul dreptului internațional public.

(3) Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care legislația națională a unui stat membru se aplică în temeiul dreptului internațional public.

Amendamentul  98

Propunere de regulament

Articolul 4

Textul propus de Comisie

Amendamentul

Definiții

Definiții

În sensul prezentului regulament:

În sensul prezentului regulament:

(1) „persoana vizată” înseamnă o persoană fizică identificată sau o persoană fizică ce poate fi identificată, în mod direct sau indirect, prin mijloace care pot fi utilizate, cu o probabilitate rezonabilă, de operator sau de orice altă persoană fizică sau juridică, în special prin referire la un număr de identificare, la date de localizare, la un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei respective;

 

(2) „date cu caracter personal” înseamnă orice informație privind o persoană vizată;

(2) „date cu caracter personal” înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă („persoană vizată”); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator unic, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale, sociale sau de gen;

 

(2a) „date protejate printr-un pseudonim” înseamnă date cu caracter personal care nu mai pot fi atribuite unei persoane vizate fără a se utiliza informații suplimentare, în măsura în care aceste informații suplimentare sunt stocate separat și fac obiectul unor măsuri de natură tehnică și organizatorică destinate să garanteze că nu va avea loc o astfel de atribuire;

 

(2b) „date criptate” înseamnă date cu caracter personal care, prin intermediul unor măsuri tehnologice de protecție, devin neinteligibile pentru persoanele care nu sunt autorizate să le acceseze;

(3) „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi culegerea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, ștergerea sau distrugerea;

(3) „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi culegerea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, ștergerea sau distrugerea;

 

(3a) „crearea de profiluri” înseamnă orice formă de prelucrare automatizată a datelor cu caracter personal prin care se urmărește evaluarea anumitor aspecte personale legate de o persoană fizică sau efectuarea de analize sau previziuni în legătură, în special, cu performanțele persoanei fizice respective la locul de muncă, situația sa economică, locul în care se află, starea sa de sănătate, preferințele personale, încrederea de care se bucură sau comportamentul acesteia;

(4) „sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;

(4) „sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;

(5) „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile, condițiile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau prin legislația unui stat membru, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin legislația unui stat membru;

(5) „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau prin legislația unui stat membru, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin legislația unui stat membru;

(6) „persoana împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează datele cu caracter personal în numele operatorului;

(6) „persoana împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează datele cu caracter personal în numele operatorului;

(7) „destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism căruia îi sunt transmise datele cu caracter personal;

(7) „destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism căruia îi sunt transmise datele cu caracter personal;

 

(7a) „terț” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de acesta, sunt autorizate să prelucreze date;

(8) „consimțământul persoanei vizate” înseamnă orice manifestare de voință, liberă, specifică, informată și explicită, prin care persoana vizată acceptă, printr-o declarație sau printr-o acțiune pozitivă fără echivoc, ca datele sale cu caracter personal să fie prelucrate;

(8) „consimțământul persoanei vizate” înseamnă orice manifestare de voință, liberă, specifică, informată și explicită, prin care persoana vizată acceptă, printr-o declarație sau printr-o acțiune pozitivă fără echivoc, ca datele sale cu caracter personal să fie prelucrate;

(9) „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod;

(9) „încălcarea securității datelor cu caracter personal” înseamnă distrugerea în mod accidental sau ilegal, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate sub o altă formă;

(10) „date genetice” înseamnă toate datele, indiferent de tipul acestora, referitoare la caracteristicile unei persoane, care sunt moștenite sau dobândite într-un stadiu precoce de dezvoltare prenatală;

(10) „date genetice” înseamnă toate datele cu caracter personal referitoare la caracteristicile genetice ale unei persoane, care au fost moștenite sau dobândite astfel cum rezultă în urma unei analize a unei mostre de material biologic al persoanei în cauză, în special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricărui alt element ce permite obținerea unor informații echivalente;

(11) „date biometrice” înseamnă orice date referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane, care permit identificarea unică a acesteia, cum ar fi imaginile faciale sau datele dactiloscopice;

(11) „date biometrice” înseamnă orice date cu caracter personal referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane, care permit identificarea unică a acesteia, cum ar fi imaginile faciale sau datele dactiloscopice;

(12) „date privind sănătatea” înseamnă orice informații legate de sănătatea fizică sau mentală a unei persoane sau de acordarea de servicii medicale persoanei respective;

(12) „date privind sănătatea” înseamnă orice date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane sau de acordarea de servicii medicale persoanei respective;

(13) „sediu principal” înseamnă, în ceea ce privește operatorul, locul de stabilire al acestuia pe teritoriul Uniunii, în care sunt luate principalele decizii privind scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal; în cazul în care nu se ia nicio decizie pe teritoriul Uniunii cu privire la scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal, sediul principal este locul în care se desfășoară principalele activități de prelucrare în cadrul activităților unui sediu al unui operator din Uniune. În ceea ce privește persoana împuternicită de operator, „sediu principal” înseamnă locul administrației sale centrale din Uniune;

(13) „sediu principal” înseamnă locul de stabilire al întreprinderii sau grupului de întreprinderi pe teritoriul Uniunii, indiferent dacă au calitatea de operator sau de persoană împuternicită de operator, în care sunt luate principalele decizii privind scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal. Următoarele criterii obiective pot fi luate în considerare, printre altele: locul sediului central al operatorului sau al persoanei împuternicite de operator; locul în care se află entitatea din cadrul grupului de întreprinderi care este cea mai în măsură, din perspectiva funcțiilor de conducere și a responsabilităților administrative, să se ocupe de normele stabilite în prezentul regulament și să le execute; locul în care sunt exercitate în mod efectiv reale activități de gestionare prin care se stabilește prelucrarea datelor în cadrul unor înțelegeri stabile;

(14) „reprezentant” înseamnă orice persoană fizică sau juridică stabilită în Uniune, desemnată explicit de către operator, care acționează și poate fi contactată în locul operatorului de către orice autoritate de supraveghere și alte organisme din Uniune, în ceea ce privește obligațiile care îi revin operatorului în temeiul prezentului regulament;

(14) „reprezentant” înseamnă orice persoană fizică sau juridică stabilită în Uniune, desemnată explicit de către operator, care reprezintă operatorul în ceea ce privește obligațiile care îi revin operatorului în temeiul prezentului regulament;

(15) „întreprindere” înseamnă orice entitate care desfășoară o activitate economică, indiferent de forma juridică a acesteia, cuprinzând, în special, persoane fizice și juridice, parteneriate sau asociații care desfășoară în mod regulat o activitate economică;

(15) „întreprindere” înseamnă orice entitate care desfășoară o activitate economică, indiferent de forma juridică a acesteia, cuprinzând, în special, persoane fizice și juridice, parteneriate sau asociații care desfășoară în mod regulat o activitate economică;

(16) „grup de întreprinderi” înseamnă o întreprindere care exercită controlul și întreprinderile controlate de aceasta;

(16) „grup de întreprinderi” înseamnă o întreprindere care exercită controlul și întreprinderile controlate de aceasta;

(17) „reguli corporatiste obligatorii” înseamnă politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de către un operator sau o persoană împuternicită de operator stabilită pe teritoriul unui stat membru al Uniunii, în ceea ce privește transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită în una sau mai multe țări terțe în cadrul unui grup de întreprinderi;

(17) „reguli corporatiste obligatorii” înseamnă politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de către un operator sau o persoană împuternicită de operator stabilită pe teritoriul unui stat membru al Uniunii, în ceea ce privește transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită în una sau mai multe țări terțe în cadrul unui grup de întreprinderi;

(18) „minor” înseamnă orice persoană cu vârsta sub 18 ani;

(18) „minor” înseamnă orice persoană cu vârsta sub 18 ani;

(19) „autoritate de supraveghere” înseamnă o autoritate publică instituită de un stat membru în conformitate cu articolul 46.

(19) „autoritate de supraveghere” înseamnă o autoritate publică instituită de un stat membru în conformitate cu articolul 46.

Amendamentul  99

Propunere de regulament

Articolul 5

Textul propus de Comisie

Amendamentul

Principii legate de prelucrarea datelor cu caracter personal

Principii legate de prelucrarea datelor cu caracter personal

(1) Datele cu caracter personal trebuie:

(1) Este necesar ca datele cu caracter personal:

(a) să fie prelucrate în mod legal, echitabil și transparent față de persoana vizată;

(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată (legalitate, echitate și transparență);

(b) să fie colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri;

(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri (limitarea scopului);

(c) să fie adecvate, pertinente și limitate la strictul necesar în ceea ce privește scopurile pentru care sunt prelucrate; aceste date sunt prelucrate numai dacă și atât timp cât scopurile nu pot fi îndeplinite prin prelucrarea unor informații care nu implică date cu caracter personal;

(c) să fie adecvate, pertinente și limitate la strictul necesar în ceea ce privește scopurile pentru care sunt prelucrate; aceste date sunt prelucrate numai dacă și atât timp cât scopurile nu pot fi îndeplinite prin prelucrarea unor informații care nu implică date cu caracter personal (reducerea la minimum a datelor);

(d) să fie exacte și actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, să fie șterse sau rectificate fără întârziere;

(d) să fie exacte și, dacă este necesar, actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere (exactitate);

(e) să fie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate numai în scopuri de cercetare istorică, statistică sau științifică, în conformitate cu normele și condițiile prevăzute la articolul 83, și numai dacă se efectuează o reexaminare periodică în vederea evaluării necesității de a continua stocarea;

(e) să fie păstrate într-o formă care permite identificarea directă sau indirectă a persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate numai în scopuri de cercetare istorică, statistică sau științifică sau pentru a fi arhivate, în conformitate cu normele și condițiile prevăzute la articolul 83 și la articolul 83a, și numai dacă se efectuează o reexaminare periodică în vederea evaluării necesității de a continua stocarea și dacă se iau măsuri tehnice și organizatorice adecvate în vederea limitării accesului la date exclusiv în aceste scopuri (limitarea la minimum a stocării);

 

(ea) prelucrate într-o manieră care îi permite persoanei vizate să își exercite drepturile într-un mod eficient (eficacitate).

 

(eb) prelucrate într-un mod care le protejează împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (integritate);

(f) să fie prelucrate sub răspunderea operatorului, care asigură și demonstrează conformitatea fiecărei operațiuni de prelucrare cu dispozițiile prezentului regulament.

(f) să fie prelucrate sub răspunderea operatorului, care asigură și poate demonstra conformitatea cu dispozițiile prezentului regulament (responsabilitatea).

Amendamentul          100

Propunere de regulament

Articolul 6

Textul propus de Comisie

Amendamentul

Legalitatea prelucrării

Legalitatea prelucrării

(1) Prelucrarea datelor cu caracter personal este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(1) Prelucrarea datelor cu caracter personal este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru executarea unor măsuri precontractuale la cererea persoanei vizate;

(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru executarea unor măsuri precontractuale la cererea persoanei vizate;

(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate;

(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate;

(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un minor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor.

(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau, în cazul divulgării de un terț căruia îi sunt divulgate datele, și care satisface așteptările legitime ale persoanei vizate bazate pe relația sa cu operatorul, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un minor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor.

(2) Prelucrarea datelor cu caracter personal necesară în scopuri de cercetare istorică, statistică sau științifică este legală sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83.

(2) Prelucrarea datelor cu caracter personal necesară în scopuri de cercetare istorică, statistică sau științifică este legală sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83.

(3) Temeiul juridic pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în:

(3) Temeiul juridic pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în:

(a) dreptul Uniunii sau

(a) dreptul Uniunii sau

(b) legislația statului membru care se aplică operatorului.

(b) legislația statului membru care se aplică operatorului.

Legislația statului membru trebuie să urmărească un obiectiv de interes public sau să fie necesară în vederea protejării drepturilor și libertăților celorlalți, să respecte substanța dreptului de protecție a datelor cu caracter personal și să fie proporțională cu obiectivul legitim urmărit.

Legislația statului membru trebuie să urmărească un obiectiv de interes public sau să fie necesară în vederea protejării drepturilor și libertăților celorlalți, să respecte substanța dreptului de protecție a datelor cu caracter personal și să fie proporțională cu obiectivul legitim urmărit. În limitele prezentului regulament, legislația statului membru poate prevede detaliile referitoare la legalitatea prelucrării, în special în ceea ce privește operatorii de date, scopul prelucrării și limitarea acestui scop, caracteristicile datelor și ale persoanelor vizate, măsurile și procedurile de prelucrare, destinatarii și durata stocării.

(4) În cazul în care scopul prelucrării ulterioare nu este compatibil cu scopul pentru care au fost colectate datele cu caracter personal, prelucrarea trebuie să se bazeze pe un temei juridic care presupune cel puțin unul din considerentele menționate la alineatul (1) literele (a) - (e). Acest lucru se aplică în special oricărei schimbări a termenilor și condițiilor generale ale unui contract.

 

(5) Comisia trebuie să fie abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii condițiilor menționate la alineatul (1) litera (f) pentru diverse sectoare și situații de prelucrare a datelor, inclusiv în ceea ce privește prelucrarea datelor cu caracter personal referitoare la un minor.

 

Amendamentul  101

Propunere de regulament

Articolul 7

Textul propus de Comisie

Amendamentul

Condiții privind consimțământul

Condiții privind consimțământul

(1) Operatorul suportă sarcina probei în ceea ce privește acordarea de către persoana vizată a consimțământului pentru prelucrarea datelor sale cu caracter personal în scopurile specificate.

(1) Când prelucrarea se bazează pe consimțământ, operatorul suportă sarcina probei în ceea ce privește acordarea de către persoana vizată a consimțământului pentru prelucrarea datelor sale cu caracter personal în scopurile specificate.

(2) În cazul în care consimțământul persoanei vizate urmează să fie acordat în contextul unei declarații scrise care se referă și la un alt aspect, solicitarea de a acorda consimțământul trebuie să fie prezentată într-o formă care o diferențiază de celălalt aspect.

(2) În cazul în care consimțământul persoanei vizate urmează să fie acordat în contextul unei declarații scrise care se referă și la un alt aspect, solicitarea de a acorda consimțământul trebuie să fie prezentată într-o formă care o diferențiază clar de celălalt aspect. Dispozițiile privind consimțământul persoanei vizate care încalcă parțial prezentul regulament sunt complet nule.

(3) Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia.

(3) Fără a aduce atingere altor temeiuri juridice pentru prelucrare, persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Retragerea consimțământului se face la fel de simplu ca și acordarea acestuia. Persoana vizată este informată de operator dacă retragerea consimțământului poate duce la întreruperea serviciilor furnizate sau a relației cu operatorul.

(4) Consimțământul nu reprezintă un temei juridic pentru prelucrare atunci când există un dezechilibru semnificativ între poziția persoanei vizate și cea a operatorului.

(4) Consimțământul are un scop limitat și își pierde valabilitatea atunci când scopul încetează să existe sau de îndată ce prelucrarea datelor cu caracter personal nu mai este necesară pentru realizarea scopurilor pentru care datele au fost inițial colectate. Executarea unui contract sau prestarea unui serviciu nu sunt condiționate de consimțământul cu privire la prelucrarea sau utilizarea datelor care nu sunt necesare pentru executarea contractului sau pentru prestarea serviciului, în conformitate cu articolul 6 alineatul (1) litera (b).

Amendamentul          102

Propunere de regulament

Articolul 8

Textul propus de Comisie

Amendamentul

Prelucrarea datelor cu caracter personal ale minorilor

Prelucrarea datelor cu caracter personal ale minorilor

(1) În sensul prezentului regulament, în ceea ce privește oferirea de servicii ale societății informaționale în mod direct unui minor, prelucrarea datelor cu caracter personal ale unui minor cu vârsta sub 13 ani este legală numai dacă și în măsura în care consimțământul este acordat sau autorizat de părintele sau de tutorele minorului. Operatorul depune toate eforturile rezonabile pentru a obține consimțământul verificabil, ținând seama de tehnologiile disponibile.

(1) În sensul prezentului regulament, în ceea ce privește oferirea de bunuri sau servicii în mod direct unui minor, prelucrarea datelor cu caracter personal ale unui minor cu vârsta sub 13 ani este legală numai dacă și în măsura în care consimțământul este acordat sau autorizat de părintele sau de reprezentantul legal al minorului. Operatorul depune toate eforturile rezonabile pentru verifica consimțământul, ținând seama de tehnologiile disponibile, fără a genera prelucrarea inutilă a datelor cu caracter personal.

 

(1a) Informațiile prezentate minorilor, părinților și reprezentanților legali pentru ca aceștia să-și exprime consimțământul, inclusiv referitoare la colectarea și utilizarea de date cu caracter personal ale operatorului, ar trebui prezentate într-un limbaj clar, adaptat publicului vizat.

(2) Alineatul (1) nu afectează dreptul general al contractelor aplicabil în statele membre, cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract în legătură cu un minor.

(2) Alineatul (1) nu afectează dreptul general al contractelor aplicabil în statele membre, cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract în legătură cu un minor.

(3) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor referitoare la metodele de a obține consimțământul verificabil menționate la alineatul (1). În acest sens, Comisia ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii.

(3) Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și cele mai bune practici referitoare la metodele de verificare a consimțământului menționate la alineatul (1), în conformitate cu articolul 66.

(4) Comisia poate să stabilească formulare tip pentru metodele specifice de obținere a consimțământului verificabil menționat la alineatul (1). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

 

Amendamentul  103

Propunere de regulament

Articolul 9

Textul propus de Comisie

Amendamentul

Prelucrarea categoriilor speciale de date cu caracter personal

Categorii speciale de date

(1) Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile, apartenența sindicală, precum și prelucrarea datelor genetice sau a datelor privind sănătatea, viața sexuală, condamnările penale sau măsurile de securitate conexe.

(1) Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, orientarea sexuală sau identitatea de gen, apartenența și activitățile sindicale, precum și prelucrarea datelor genetice sau biometrice sau a datelor privind sănătatea, viața sexuală, sancțiunile administrative, hotărârile, infracțiunile penale sau infracțiunile presupuse, condamnările sau măsurile de securitate conexe.

(2) Alineatul (1) nu se aplică atunci când:

(2) Alineatul (1) nu se aplică în următoarele situații:

(a) persoana vizată și-a dat consimțământul pentru prelucrarea acestor date cu caracter personal, în condițiile prevăzute la articolele 7 și 8, cu excepția cazului în care dreptul Uniunii sau legislația unui stat membru prevede că interdicția menționată la alineatul (1) nu poată fi ridicată de persoana vizată sau

(a) persoana vizată și-a dat consimțământul pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, în condițiile prevăzute la articolele 7 și 8, cu excepția cazului în care dreptul Uniunii sau legislația unui stat membru prevede că interdicția menționată la alineatul (1) nu poată fi ridicată de persoana vizată sau

 

(aa) prelucrarea este necesară pentru executarea unui contract din care face parte persoana vizată sau pentru luarea unor măsuri precontractuale la solicitarea persoanei vizate înainte de încheierea unui contract;

(b) prelucrarea este necesară în scopul respectării obligațiilor și al exercitării unor drepturi specifice ale operatorului în domeniul dreptului muncii, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de legislația unui stat membru care prevede garanții adecvate sau

(b) prelucrarea este necesară în scopul respectării obligațiilor și al exercitării unor drepturi specifice ale operatorului în domeniul dreptului muncii, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de legislația unui stat membru sau de acorduri colective care prevăd garanții adecvate pentru protejarea drepturilor fundamentale ale persoanei vizate, cum ar fi dreptul la nediscriminare, sub rezerva condițiilor și garanțiilor prevăzute la articolul 82; sau

(c) prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată se află în incapacitate fizică sau juridică să-și dea consimțământul sau

(c) prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată se află în incapacitate fizică sau juridică să-și dea consimțământul sau

(d) prelucrarea este efectuată, în cadrul activităților lor legitime și cu garanții adecvate, de către o fundație, o asociație sau orice alt organism cu scop nelucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele să nu fie comunicate terților fără consimțământul persoanelor vizate sau

(d) prelucrarea este efectuată, în cadrul activităților lor legitime și cu garanții adecvate, de către o fundație, o asociație sau orice alt organism cu scop nelucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele să nu fie comunicate terților fără consimțământul persoanelor vizate; sau

(e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată sau

(e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată; sau

(f) prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau

(f) prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță; sau

(g) prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public, executate în baza dreptului Uniunii sau a legislației unui stat membru, care prevede măsurile corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate sau;

(g) prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public ridicat, în baza dreptului Uniunii sau a legislației unui stat membru care este proporțională cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsurile corespunzătoare pentru protejarea drepturilor fundamentale și intereselor persoanei vizate sau

(h) prelucrarea datelor privind sănătatea este necesară în scopuri legate de sănătate și sub rezerva condițiilor și a garanțiilor prevăzute la articolul 81 sau

(h) prelucrarea datelor privind sănătatea este necesară în scopuri legate de sănătate și face obiectul condițiilor și garanțiilor prevăzute la articolul 81; sau

(i) prelucrarea este necesară în scopuri de cercetare istorică, statistică sau științifică, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83 sau

(i) prelucrarea este necesară în scopuri de cercetare istorică, statistică sau științifică, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83 sau

 

(ia) prelucrarea este necesară serviciilor de arhivare, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83a sau

(j) prelucrarea datelor referitoare la condamnări penale sau la măsuri de securitate conexe se efectuează fie sub controlul autorității publice, fie atunci când prelucrarea este necesară pentru conformarea cu o obligație legală sau de reglementare care îi revine operatorului, fie pentru îndeplinirea unei sarcini executate din considerente importante de interes public, în măsura în care prelucrarea este autorizată de dreptul Uniunii sau de legislația unui stat membru care prevede garanții adecvate. Un registru complet al condamnărilor penale este ținut numai sub controlul autorității publice.

(j) prelucrarea datelor referitoare la sancțiuni administrative, hotărâri, infracțiuni penale, condamnări sau la măsuri de securitate conexe se efectuează fie sub controlul autorității publice, fie atunci când prelucrarea este necesară pentru conformarea cu o obligație legală sau de reglementare care îi revine operatorului, fie pentru îndeplinirea unei sarcini executate din considerente importante de interes public, în măsura în care prelucrarea este autorizată de dreptul Uniunii sau de legislația unui stat membru care prevede garanții adecvate legate de drepturile fundamentale și interesele persoanei vizate. Orice registru al condamnărilor penale este ținut numai sub controlul autorității publice.

(3) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor, condițiilor și garanțiilor corespunzătoare pentru prelucrarea categoriilor speciale de date cu caracter personal menționate la alineatul (1), precum și derogările prevăzute la alineatul (2).

(3) Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și bune practici pentru prelucrarea categoriilor speciale de date cu caracter personal menționate la alineatul (1), precum și derogările prevăzute la alineatul (2), în conformitate cu articolul 66.

Amendamentul          104

Propunere de regulament

Articolul 10

Textul propus de Comisie

Amendamentul

În cazul în care datele prelucrate de către un operator nu îi permit acestuia să identifice o persoană fizică, operatorul nu are obligația de a obține informații suplimentare pentru a identifica persoana vizată numai în scopul respectării unei dispoziții ale prezentului regulament.

(1) În cazul în care datele prelucrate de către un operator nu îi permit acestuia sau persoanei împuternicite de către operator să identifice direct sau indirect o persoană fizică sau consistă doar din date pseudonime, operatorul nu prelucrează și nici nu obține informații suplimentare pentru a identifica persoana vizată numai în scopul respectării unei dispoziții a prezentului regulament.

 

(2) Atunci când operatorul de date nu este în măsură să respecte o anumită dispoziție a prezentului regulament din cauza alineatului (1), operatorul nu este obligat să respecte dispoziția respectivă. Atunci când, în consecință, operatorul de date nu este în măsură să se conformeze cererii persoanei vizate, operatorul informează persoana vizată în mod corespunzător.

Amendamentul  105

Propunere de regulament

Articolul 10 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 10a

 

Principii generale privind drepturile persoanelor vizate

 

(1) Temeiul protecției datelor îl constituie drepturile clare și fără ambiguități ale persoanei vizate, fapt respectat de operatorul de date. Dispozițiile prezentului regulament au scopul de a întări, clarifica, garanta și, după caz, codifica aceste drepturi.

 

(2) Aceste drepturi includ, printre altele, furnizarea de informații clare și ușor de înțeles privind prelucrarea datelor sale cu caracter personal, dreptul de acces, de rectificare și de ștergere a datelor cu caracter personal, dreptul de a obține date, dreptul de a se opune creării de profiluri, dreptul de a depune o plângere în fața autorității competente de protecție a datelor, .dreptul de a introduce o acțiune în justiție, precum și dreptul la compensații și despăgubiri în urma unei operațiuni de prelucrare ilegale. Aceste drepturi se exercită în general gratuit. Operatorul de date răspunde cererilor persoanei vizate într-un termen rezonabil.

Amendamentul  106

Propunere de regulament

Articolul 11

Textul propus de Comisie

Amendamentul

(1) Operatorul aplică politici transparente și ușor de accesat în ceea ce privește prelucrarea datelor cu caracter personal și exercitarea drepturilor persoanelor vizate.

(1) Operatorul aplică politici concise, transparente, clare și ușor de accesat în ceea ce privește prelucrarea datelor cu caracter personal și exercitarea drepturilor persoanelor vizate.

(2) Operatorul transmite persoanei vizate orice informație și orice comunicare cu privire la prelucrarea datelor cu caracter personal într-o formă inteligibilă, utilizând un limbaj clar și simplu, adaptat în funcție de persoana vizată, în special pentru orice informație adresată în mod expres unui minor.

(2) Operatorul transmite persoanei vizate orice informație și orice comunicare cu privire la prelucrarea datelor cu caracter personal într-o formă inteligibilă, utilizând un limbaj clar și simplu, în special pentru orice informație adresată în mod expres unui minor.

Amendamentul  107

Propunere de regulament

Articolul 12

Textul propus de Comisie

Amendamentul

(1) Operatorul stabilește proceduri pentru furnizarea informațiilor prevăzute la articolul 14 și pentru exercitarea drepturilor persoanelor vizate menționate la articolul 13 și la articolele 15 - 19. Operatorul prevede în special mecanisme pentru facilitarea introducerii unei cereri privind acțiunile menționate la articolul 13 și la articolele 15 - 19. În cazul în care datele cu caracter personal fac obiectul unei prelucrări automatizate, operatorul prevede, de asemenea, modalitățile de introducere a cererilor pe cale electronică.

(1) În cazul în care datele cu caracter personal fac obiectul unei prelucrări automatizate, operatorul prevede, de asemenea, modalitățile de introducere a cererilor pe cale electronică, atunci când este posibil..

(2) Operatorul informează persoana vizată fără întârziere și, cel târziu, în termen de o lună de la primirea cererii, dacă a fost luată vreo măsură în temeiul articolului 13 și al articolelor 15 - 19 și furnizează informațiile solicitate. Acest termen poate fi prelungit cu încă o lună, în cazul în care mai multe persoanele vizate își exercită drepturile și cooperarea acestora este necesară într-o măsură rezonabilă pentru a evita eforturi inutile și disproporționate din partea operatorului. Informațiile sunt furnizate în scris. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, cu excepția cazului în care persoana vizată solicită un alt format.

(2) Operatorul informează persoana vizată fără întârziere nejustificată și, cel târziu, în termen de 40 de zile calendaristice de la primirea cererii, dacă a fost luată vreo măsură în temeiul articolului 13 și al articolelor 15-19 și furnizează informațiile solicitate. Acest termen poate fi prelungit cu încă o lună, în cazul în care mai multe persoanele vizate își exercită drepturile și cooperarea acestora este necesară într-o măsură rezonabilă pentru a evita eforturi inutile și disproporționate din partea operatorului. Informațiile sunt furnizate în scris sau, dacă este posibil, operatorul de date poate furniza acces de la distanță la o platformă online sigură, care să ofere persoanei vizate posibilitatea de a-și consulta direct datele cu caracter personal. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, dacă este posibil, cu excepția cazului în care persoana vizată solicită un alt format.

(3) În cazul în care operatorul refuză să ia măsuri la cererea persoanei vizate, acesta informează persoana vizată cu privire la motivele refuzului și la posibilitățile de a depune o plângere în fața autorității de supraveghere și de a introduce o cale de atac în justiție.

(3) În cazul în care operatorul nu să ia măsuri la cererea persoanei vizate, acesta informează persoana vizată cu privire la motivele inacțiunii sale și la posibilitățile de a depune o plângere în fața autorității de supraveghere și de a introduce o cale de atac în justiție.

(4) Informațiile și măsurile luate în contextul cererilor menționate la alineatul (1) sunt gratuite. În cazul în care cererile sunt în mod vădit excesive, în special din cauza caracterului lor repetitiv, operatorul poate percepe o taxă pentru furnizarea informațiilor sau pentru luarea măsurilor solicitate ori poate să nu ia măsurile solicitate. În acest caz, operatorul suportă sarcina probei în ceea ce privește caracterul vădit excesiv al cererii.

(4) Informațiile și măsurile luate în contextul cererilor menționate la alineatul (1) sunt gratuite. În cazul în care cererile sunt în mod vădit excesive, în special din cauza caracterului lor repetitiv, operatorul poate percepe o taxă rezonabilă care să țină cont de costurile administrative pentru furnizarea informațiilor sau pentru luarea măsurilor solicitate. În acest caz, operatorul suportă sarcina probei în ceea ce privește caracterul vădit excesiv al cererii.

(5) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și condițiilor privind cererile vădit excesive și taxele menționate la alineatul (4).

 

(6) Comisia poate stabili formulare tip și proceduri standard în ceea ce privește comunicarea menționată la alineatul (2), inclusiv în format electronic. În acest sens, Comisia ia în considerare măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

 

Amendamentul          108

Propunere de regulament

Articolul 13

Textul propus de Comisie

Amendamentul

Drepturi referitoare la destinatari

Obligația de notificare în caz de rectificare și ștergere

Operatorul comunică fiecărui destinatar căruia i-au fost dezvăluite datele orice rectificare sau ștergere efectuată în conformitate cu articolele 16 și 17, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune un efort disproporționat.

Operatorul comunică fiecărui destinatar căruia i-au fost transferate datele orice rectificare sau ștergere efectuată în conformitate cu articolele 16 și 17, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune un efort disproporționat. Operatorul informează persoana vizată despre respectivele părți terțe. Operatorul informează persoana vizată cu privire la acești destinatari dacă persoana vizată o cere.

Amendamentul  109

Propunere de regulament

Articolul 13 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 13a

 

Politici de informare standardizate

 

(1) În cazul în care sunt colectate date cu caracter personal referitoare la o persoană vizată, operatorul îi furnizează respectivei persoane următoarele date înainte de a obține informații în conformitate cu articolul 14:

 

(a) dacă datele personale sunt colectate la un nivel mai mare decât nivelul minim necesar pentru fiecare scop specific al prelucrării;

 

(b) dacă datele cu caracter personal sunt stocate la un nivel mai mare decât nivelul minim necesar pentru fiecare scop specific al prelucrării;

 

(c) dacă datele cu caracter personal sunt prelucrate în alte scopuri decât scopul pentru care au fost colectate;

(d) dacă date cu caracter personal sunt diseminate unor părți terțe comerciale;

 

(e) dacă datele cu caracter personal sunt vândute sau închiriate;

 

(f) dacă datele cu caracter personal sunt stocate în formă criptată.

 

(2) Datele prevăzute la alineatul (1) sunt prezentate în conformitate cu anexa X într-un format aliniat sub formă de tabel, cu texte și simboluri, pe următoarele trei coloane:

 

(a) prima coloană descrie formele grafice care simbolizează aceste date;

 

(b) cea de a doua coloană conține informații esențiale care descriu aceste date;

 

(c) cea de a treia coloană descrie formele grafice care indică dacă un element specific este respectat.

 

(3) Informațiile menționate la alineatele (1) și (2) sunt prezentate într-un mod vizibil și ușor lizibil și apar într-o limbă ușor de înțeles de către consumatorii din statele membre cărora le sunt furnizate informațiile. În cazul în care datele sunt prezentate în format electronic, acestea trebuie să poată fi citite automat.

 

(4) Nu se furnizează date suplimentare. Se pot furniza explicații detaliate sau observații suplimentare în ceea ce privește datele prevăzute la alineatul (1) împreună cu celelalte cerințe privind informațiile conforme cu articolul 14.

 

(5) Comisia este abilitată să adopte, după solicitarea unui aviz Comitetului european pentru protecția datelor, acte delegate în conformitate cu articolul 86 în vederea descrierii suplimentare a datelor menționate la alineatul 1 și a prezentării lor, astfel cum se menționează la alineatul (2) și în anexa 1.

Amendamentul  110

Propunere de regulament

Articolul 14

Textul propus de Comisie

Amendamentul

Informații pentru persoana vizată

Informații pentru persoana vizată

(1) Atunci când sunt colectate date cu caracter personal referitoare la o persoană vizată, operatorul furnizează persoanei vizate cel puțin următoarele informații:

(1) Atunci când sunt colectate date cu caracter personal referitoare la o persoană vizată, operatorul furnizează persoanei vizate cel puțin următoarele informații, după ce informațiile următoare, în conformitate cu articolul 13a, au fost furnizate:

(a) identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;

(a) identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;

(b) scopurile în care sunt prelucrate datele cu caracter personal, inclusiv condițiile contractului și condițiile generale în cazul în care prelucrarea se întemeiază pe articolul 6 alineatul (1) litera (b) și interesele legitime urmărite de operator în cazul în care prelucrarea se întemeiază pe articolul 6 alineatul (1) litera (f);

(b) scopurile specifice în care sunt prelucrate datele cu caracter personal, precum și informații specifice privind securitatea prelucrării datelor cu caracter personal, inclusiv condițiile contractului și condițiile generale în cazul în care prelucrarea se întemeiază pe articolul 6 alineatul (1) litera (b) și, atunci când este cazul, informații cu privire la felul în care se aplică și se respectă cerințele de la articolul 6 alineatul (1) litera (f);

(c) perioada în care vor fi stocate datele cu caracter personal;

(c) perioada în care vor fi stocate datele cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(d) existența dreptului de a solicita operatorului accesul la datele cu caracter personal referitoare la persoana vizată, precum și rectificarea sau ștergerea acestora, sau a dreptului de a se opune prelucrării acestor date cu caracter personal;

(d) existența dreptului de a solicita operatorului accesul la datele cu caracter personal referitoare la persoana vizată, precum și rectificarea sau ștergerea acestora, sau a dreptului de a se opune prelucrării acestor date cu caracter personal sau de a obține date;

(e) dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere;

(e) dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere;

(f) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

(f) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

(g) dacă este cazul, intenția operatorului de a efectua un transfer către o țară terță sau o organizație internațională și nivelul de protecție oferit de țara terță sau de organizația internațională respectivă, prin trimitere la o decizie a Comisiei privind caracterul adecvat al nivelului de protecție;

(g) dacă este cazul, intenția operatorului de a efectua un transfer de date către o țară terță sau o organizație internațională și existența sau absența unei decizii a Comisiei privind caracterul adecvat, în cazul transferurilor menționate la articolul 42, la articolul 43 sau la articolul 44 alineatul (1) litera (h), prin trimitere la garanțiile adecvate și la mijloacele de a obține o copie a acestora;

 

(ga) după caz, informații cu privire la existența creării de profiluri, a unor măsuri bazate pe crearea de profiluri și cu privire la efectele preconizate de crearea de profiluri asupra persoanei vizate;

 

(gb) informații pertinente despre logica ce stă la baza oricărei operațiuni de prelucrare automatizată;

(h) orice altă informație necesară pentru garantarea unei prelucrări corecte față de persoana vizată, având în vedere circumstanțele specifice în care sunt colectate datele cu caracter personal.

(h) orice altă informație care este necesară pentru garantarea unei prelucrări corecte față de persoana vizată, având în vedere circumstanțele specifice în care sunt colectate sau prelucrate datele cu caracter personal, în special existența anumitor activități și operațiuni de prelucrare în privința cărora evaluările de impact asupra datelor cu caracter personal au indicat existența unui risc ridicat;

 

(ha) atunci când este cazul, informații care indică dacă datele cu caracter personal au fost furnizate autorităților publice în cursul ultimelor 12 luni consecutive.

(2) În cazul în care datele cu caracter personal sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în plus față de informațiile menționate la alineatul (1), informații cu privire la caracterul obligatoriu sau voluntar al furnizării datelor cu caracter personal, precum și la eventualele consecințe ale refuzului de a furniza aceste date.

(2) În cazul în care datele cu caracter personal sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, pe lângă informațiile menționate la alineatul (1), informații cu privire la caracterul obligatoriu sau opțional al furnizării datelor cu caracter personal, precum și cu privire la eventualele consecințe ale nefurnizării acestor date.

 

(2a) La luarea deciziei cu privire la informațiile suplimentare necesare pentru asigurarea unei prelucrări corecte în temeiul alineatului (1) litera (h), operatorii țin seama de liniile directoare aplicabile în temeiul articolului 38.

(3) În cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în plus față de informațiile menționate la alineatul (1), informații privind sursele din care provin datele cu caracter personal.

(3) În cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în plus față de informațiile menționate la alineatul (1), informații privind sursele din care provin datele specifice cu caracter personal. Dacă datele cu caracter personal provin din surse aflate la dispoziția publicului, poate fi oferită o indicație generală.

(4) Operatorul furnizează informațiile menționate la alineatele (1), (2) și (3):

(4) Operatorul furnizează informațiile menționate la alineatele (1), (2) și (3):

(a) în momentul în care datele cu caracter personal sunt colectate de la persoana vizată sau

(a) în momentul în care datele cu caracter personal sunt colectate de la persoana vizată sau fără întârzieri nejustificate atunci când prima opțiune nu este viabilă; sau

 

(aa) la solicitarea unui organism, unei organizații sau asociații menționate la articolul 73;

(b) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, în momentul înregistrării acestora sau într-un termen rezonabil după colectare, ținând seama de circumstanțele specifice în care datele respective sunt colectate sau prelucrate în alt mod sau dacă se preconizează comunicarea acestora către un alt destinatar, și cel târziu în momentul în care datele sunt comunicate pentru prima dată.

(b) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, în momentul înregistrării acestora sau într-un termen rezonabil după colectare, ținând seama de circumstanțele specifice în care datele respective sunt colectate sau prelucrate în alt mod sau dacă se preconizează transferul acestora către un alt destinatar, și cel târziu în momentul primului transfer sau, dacă datele sunt utilizate pentru a comunica cu persoana în cauză, cel târziu în momentul în care are loc prima comunicare cu persoana respectivă; sau

 

(ba) numai la cerere atunci când datele sunt prelucrate de o întreprindere mică sau de o microîntreprindere care prelucrează date cu caracter personal doar ca o activitate auxiliară.

(5) Dispozițiile alineatelor (1) - (4) nu se aplică atunci când:

(5) Dispozițiile alineatelor (1) - (4) nu se aplică atunci când:

(a) persoana vizată deține deja informațiile menționate la alineatele (1), (2) și (3) sau

 

(a) persoana vizată deține deja informațiile menționate la alineatele (1), (2) și (3) sau

(b) datele nu sunt colectate de la persoana vizată, iar furnizarea acestor informații se dovedește imposibilă sau ar presupune un efort disproporționat sau

(b) datele sunt prelucrate în scopuri istorice, statistice sau științifice care fac obiectul condițiilor și garanțiilor prevăzute la articolul 81 sau articolul 83, nu sunt colectate de la persoana vizată, iar furnizarea acestor informații se dovedește imposibilă sau ar presupune un efort disproporționat iar operatorul a publicat informațiile astfel încât să fie preluate de oricine; sau

(c) datele nu sunt colectate de la persoana vizată, iar înregistrarea sau divulgarea datelor este prevăzută în mod expres de lege sau

(c) datele nu sunt colectate de la persoana vizată, iar înregistrarea sau divulgarea datelor este prevăzută în mod expres de legea sub incidența căreia intră operatorul, care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate, având în vedere riscurile prezentate de prelucrarea și de natura datelor cu caracter personal; sau

(d) datele nu sunt colectate de la persoana vizată, iar furnizarea acestor informații aduce atingere drepturilor și libertăților altor persoane, astfel cum sunt definite în dreptul Uniunii sau în legislația unui stat membru, în conformitate cu articolul 21.

(d) datele nu sunt colectate de la persoana vizată, iar furnizarea acestor informații aduce atingere drepturilor și libertăților altor persoane fizice, astfel cum sunt definite în dreptul Uniunii sau în legislația unui stat membru, în conformitate cu articolul 21.

 

(da) datele sunt prelucrate în cadrul profesiei, sau sunt încredințate sau devin cunoscute unei persoane supuse obligației secretului profesional reglementat de legislația Uniunii sau de dreptul statului membru sau unei obligații legale de a păstra secretul, în cazul în care datele nu sunt colectate direct de la persoana vizată.

(6) În cazul menționat la alineatul (5) litera (b), operatorul prevede măsuri corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate.

(6) În cazul menționat la alineatul (5) litera (b), operatorul prevede măsuri corespunzătoare pentru protejarea drepturilor sau intereselor legitime ale persoanei vizate.

(7) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor privind categoriile de destinatari menționate la alineatul (1) litera (f), a cerințelor privind notificarea posibilității de acces menționate la alineatul (1) litera (g), a criteriilor privind informațiile suplimentare necesare menționate la alineatul (1) litera (h) pentru sectoare și situații specifice, precum și a condițiilor și a garanțiilor corespunzătoare pentru derogările prevăzute la alineatul (5) litera (b). În acest sens, Comisia ia în considerare măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii.

 

(8) Comisia poate stabili formulare tip pentru transmiterea informațiilor menționate la alineatele (1) - (3), ținând seama, dacă este cazul, de particularitățile și nevoile specifice ale diverselor sectoare și situații de prelucrare a datelor. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

 

Amendamentul  111

Propunere de regulament

Articolul 15

Textul propus de Comisie

Amendamentul

Dreptul de acces al persoanei vizate

Dreptul de acces și de obținere de date al persoanei vizate

(1) Persoana vizată are dreptul de a obține din partea operatorului, în orice moment, la cerere, confirmarea faptului că datele sale cu caracter personal sunt sau nu prelucrate. În cazul în care aceste date cu caracter personal sunt prelucrate, operatorul furnizează următoarele informații:

(1) Sub rezerva articolului 12 alineatul (4), persoana vizată are dreptul de a obține din partea operatorului, într-un limbaj clar și simplu, în orice moment, la cerere, confirmarea faptului că datele sale cu caracter personal sunt sau nu prelucrate.

(a) scopurile prelucrării;

(a) scopurile prelucrării pentru fiecare categorie de date cu caracter personal;

(b) categoriile de date cu caracter personal vizate;

(b) categoriile de date cu caracter personal vizate;

(c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal urmează să le fie divulgate sau le-au fost divulgate, în special dacă destinatarii sunt din țări terțe;

(c) destinatarii cărora datele cu caracter personal urmează să le fie divulgate sau le-au fost divulgate, inclusiv destinatarii din țări terțe;

(d) perioada în care vor fi stocate datele cu caracter personal;

(d) perioada în care vor fi stocate datele cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(e) existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării acestor date;

(e) existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării acestor date;

(f) dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere;

(f) dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere;

(g) comunicarea datelor cu caracter personal care sunt în curs de prelucrare și a oricărei informații disponibile cu privire la originea datelor;

 

(h) importanța și consecințele preconizate ale prelucrării, cel puțin în cazul măsurilor menționate la articolul 20.

(h) importanța și consecințele preconizate ale prelucrării;

 

(ha) informații pertinente despre logica care stă la baza oricărei operațiuni de prelucrare automatizată;

 

(hb) fără a aduce atingere articolului 21, în cazul divulgării datelor cu caracter personal unei autorități publice ca urmare a unei cereri din partea unei autorități publice, confirmarea faptului că această cerere a fost făcută.

(2) Persoana vizată are dreptul de a obține din partea operatorului comunicarea datelor cu caracter personal care sunt în curs de prelucrare. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, cu excepția cazului în care persoana vizată solicită un alt format.

(2) Persoana vizată are dreptul de a obține din partea operatorului comunicarea datelor cu caracter personal care sunt în curs de prelucrare. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic structurat, cu excepția cazului în care persoana vizată solicită un alt format. Fără a aduce atingere articolului 10, operatorul ia toate măsurile necesare pentru a verifica dacă persoana care solicită accesul la date este persoana vizată.

 

(2a) În cazul în care persoana vizată a furnizat date cu caracter personal, iar datele cu caracter personal sunt prelucrate electronic, persoana vizată are dreptul să obțină, din partea operatorului, o copie a datelor cu caracter personal furnizate într-un format electronic interoperabil care este utilizat în mod curent și care permite persoanei vizate să utilizeze ulterior aceste date, fără a fi împiedicată de operatorul de la care sunt retrase datele cu caracter personal. Atunci când este acest lucru este fezabil din punct de vedere tehnic și fizic posibil, datele se transferă direct de la operator la operator, la cererea persoanei vizate.

 

(2b) Prezentul articol nu aduce atingere obligației de a șterge datele atunci când acestea nu mai sunt necesare, conform articolului 5 alineatul (1) litera (e).

 

(2c) În temeiul alineatelor (1) și (2), nu există drept de acces atunci când sunt vizate date în sensul articolului 14 alineatul (5) litera (da), cu excepția cazului în care persoana vizată este abilitată să înlăture confidențialitatea în cauză și acționează în consecință.

(3) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor privind comunicarea către persoana vizată a conținutului datelor cu caracter personal menționate la alineatul (1) litera (g).

 

(4) Comisia poate specifica formele și procedurile standard pentru solicitarea și acordarea accesului la informațiile menționate la alineatul (1), inclusiv pentru verificarea identității persoanei vizate și comunicarea datelor cu caracter personal către persoana vizată, ținând seama de particularitățile și nevoile specifice pentru diferitele sectoare și situații de prelucrare a datelor. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

 

Amendamentul  112

Propunere de regulament

Articolul 17

Textul propus de Comisie

Amendamentul

Dreptul de a fi uitat și de a fi șters

Dreptul de a fi șters

(1) Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc și încetarea difuzării acestor date, în special în ceea ce privește datele cu caracter personal care sunt puse la dispoziție de către persoana vizată atunci când era minor, în cazul în care se aplică unul dintre următoarele motive:

(1) Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc și încetarea difuzării acestor date și de a obține din partea terților ștergerea oricăror legături către acestea sau copierea sau replicarea lor, în cazul în care se aplică unul dintre următoarele motive:

(a) datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;

(a) datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;

(b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea în conformitate cu articolul 6 alineatul (1) litera (a) sau în cazul în care perioada de stocare a datelor a expirat și nu există niciun alt temei legal pentru prelucrarea datelor;

(b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea în conformitate cu articolul 6 alineatul (1) litera (a) sau în cazul în care perioada de stocare a datelor a expirat și nu există niciun alt temei legal pentru prelucrarea datelor;

(c) persoana vizată se opune prelucrării datelor cu caracter personal în temeiul articolului 19;

(c) persoana vizată se opune prelucrării datelor cu caracter personal în temeiul articolului 19;

 

(ca) o instanță sau o autoritate de reglementare din Uniune a pronunțat o hotărâre definitivă și executorie potrivit căreia datele în cauză trebuie șterse;

(d) prelucrarea datelor nu este conformă cu prezentul regulament din alte motive.

(d) datele au fost prelucrate ilegal;

 

1a. Aplicarea alineatului (1) depinde de capacitatea operatorului de date de a verifica dacă persoana care a solicitat ștergerea este persoana vizată.

(2) În cazul în care operatorul menționat la alineatul (1) a făcut publice datele cu caracter personal, acesta ia toate măsurile rezonabile, inclusiv măsuri tehnice, în ceea ce privește datele de a căror publicare este responsabil, pentru a informa terții care prelucrează astfel de date că persoana vizată le solicită să șteargă toate linkurile către datele cu caracter personal și orice copie sau reproducere a acestora. În cazul în care operatorul a autorizat un terț să publice date cu caracter personal, se consideră că operatorul este responsabil de publicarea datelor respective.

(2) În cazul în care operatorul menționat la alineatul (1) a făcut publice datele cu caracter personal fără o justificare în temeiul articolului 6 alineatul (1), acesta ia toate măsurile rezonabile pentru ca datele să fie șterse, inclusiv de terți, fără a aduce atingere articolului 77. Operatorul informează persoana în cauză, dacă este posibil, cu privire la acțiunile întreprinse de părțile terțe relevante.

(3) Operatorul efectuează ștergerea fără întârziere, cu excepția cazului în care păstrarea datelor cu caracter personal este necesară:

(3) Operatorul și, după caz, terțul, efectuează ștergerea fără întârziere, cu excepția cazului în care păstrarea datelor cu caracter personal este necesară:

(a) pentru exercitarea dreptului la liberă exprimare, în conformitate cu articolul 80;

(a) pentru exercitarea dreptului la liberă exprimare, în conformitate cu articolul 80;

(b) din motive de interes public în domeniul sănătății publice, în conformitate cu articolul 81;

(b) din motive de interes public în domeniul sănătății publice, în conformitate cu articolul 81;

(c) în scopuri istorice, statistice și științifice, în conformitate cu articolul 83;

(c) în scopuri istorice, statistice și științifice, în conformitate cu articolul 83;

(d) pentru respectarea obligației legale de a păstra datele cu caracter personal prevăzută în legislația Uniunii sau a statului membru aplicabilă operatorului; legislațiile statelor membre trebuie să răspundă unui obiectiv de interes public, să respecte esența dreptului la protecția datelor cu caracter personal și să fie proporționale cu obiectivul legitim urmărit;

(d) pentru respectarea obligației legale de a păstra datele cu caracter personal prevăzută în legislația Uniunii sau a statului membru aplicabilă operatorului; legislațiile statelor membre trebuie să răspundă unui obiectiv de interes public, să respecte dreptul la protecția datelor cu caracter personal și să fie proporționale cu obiectivul legitim urmărit;

(e) în cazurile prevăzute la alineatul (4).

(e) în cazurile prevăzute la alineatul (4).

(4) În loc să le șteargă, operatorul limitează prelucrarea datelor cu caracter personal în cazul în care:

(4) În loc să le șteargă, operatorul limitează prelucrarea datelor cu caracter personal în așa fel încât datele să nu mai poată face obiectul accesului obișnuit și al operațiunilor de prelucrare și să nu mai poată fi modificate, în cazul în care:

(a) persoana vizată contestă exactitatea acestor date, pentru o perioadă care să îi permită operatorului să verifice exactitatea datelor;

(a) persoana vizată contestă exactitatea acestor date, pentru o perioadă care să îi permită operatorului să verifice exactitatea datelor;

(b) operatorul nu mai are nevoie de datele cu caracter personal pentru a-și îndeplini atribuțiile, dar acestea trebuie să fie păstrate ca dovadă;

(b) operatorul nu mai are nevoie de datele cu caracter personal pentru a-și îndeplini atribuțiile, dar acestea trebuie să fie păstrate ca dovadă;

(c) prelucrarea acestora este ilegală, iar persoana vizată se opune ștergerii datelor, solicitând, în schimb, restricționarea utilizării lor;

(c) prelucrarea acestora este ilegală, iar persoana vizată se opune ștergerii datelor, solicitând, în schimb, restricționarea utilizării lor;

 

(ca) o instanță sau o autoritate de reglementare din Uniune a pronunțat o hotărâre definitivă și executorie potrivit căreia datele în cauză trebuie restricționate;

(d) persoana vizată solicită transferul datelor cu caracter personal în alt sistem de prelucrare automată a datelor, în conformitate cu articolul 18 alineatul (2).

(d) persoana vizată solicită transferul datelor cu caracter personal în alt sistem de prelucrare automată a datelor, în conformitate cu articolul 15 alineatul (2a).

 

(da) tipul specific de stocare nu permite ștergerea și a fost instalat înainte de intrarea în vigoare a prezentului regulament.

(5) Datele cu caracter personal menționate la alineatul (4) pot fi prelucrate, cu excepția stocării, doar în scop probatoriu, fie cu consimțământul persoanei vizate, fie pentru protejarea drepturilor altor persoane fizice ori juridice fie pentru un obiectiv de interes public.

(5) Datele cu caracter personal menționate la alineatul (4) pot fi prelucrate, cu excepția stocării, doar în scop probatoriu, fie cu consimțământul persoanei vizate, fie pentru protejarea drepturilor altor persoane fizice ori juridice fie pentru un obiectiv de interes public.

(6) În cazul în care prelucrarea datelor cu caracter personal este limitată în conformitate cu alineatul (4), operatorul informează în acest sens persoana vizată înainte de ridicarea restricțiilor de prelucrare.

(6) În cazul în care prelucrarea datelor cu caracter personal este limitată în conformitate cu alineatul (4), operatorul informează în acest sens persoana vizată înainte de ridicarea restricțiilor de prelucrare.

(7) Operatorul pune în aplicare mecanisme pentru a asigura respectarea termenelor stabilite pentru ștergerea datelor cu caracter personal și/sau pentru o revizuire periodică a necesității de stocare a datelor.

 

(8) În cazul în care se efectuează ștergerea, operatorul nu prelucrează în niciun alt fel datele personale.

(8) În cazul în care se efectuează ștergerea, operatorul nu prelucrează în niciun alt fel datele personale.

 

(8a) Operatorul pune în aplicare mecanisme pentru a asigura respectarea termenelor stabilite pentru ștergerea datelor cu caracter personal și/sau pentru o revizuire periodică a necesității de stocare a datelor.

(9) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul de a detalia:

(9) Comisia este mandatată să adopte, după solicitarea unui aviz al Comitetului european pentru protecția datelor, acte delegate în conformitate cu articolul 86 în scopul de a detalia:

(a) criteriile și cerințele privind aplicarea alineatului (1) în anumite sectoare și în anumite situații de prelucrare a datelor;

(a) criteriile și cerințele privind aplicarea alineatului (1) în anumite sectoare și în anumite situații de prelucrare a datelor;

(b) condițiile de ștergere a linkurilor către datele cu caracter personal, a copiilor sau a reproducerilor acestora de care dispun serviciile de comunicații accesibile publicului, astfel cum se menționează la alineatul (2);

(b) condițiile de ștergere a linkurilor către datele cu caracter personal, a copiilor sau a reproducerilor acestora de care dispun serviciile de comunicații accesibile publicului, astfel cum se menționează la alineatul (2);

(c) criteriile și condițiile de restricționare a prelucrării datelor cu caracter personal prevăzute la alineatul (4).

(c) criteriile și condițiile de restricționare a prelucrării datelor cu caracter personal prevăzute la alineatul (4).

Amendamentul  113

Propunere de regulament

Articolul 18

Textul propus de Comisie

Amendamentul

Dreptul la portabilitatea datelor

eliminat

(1) În cazul în care datele cu caracter personal sunt prelucrate electronic într-un format structurat care este utilizat în mod curent, persoana vizată are dreptul să obțină, din partea operatorului, o copie a datelor care fac obiectul prelucrării electronice într-un format electronic structurat care este utilizat în mod curent și care permite persoanei vizate să utilizeze ulterior aceste date.

 

(2) În cazul în care persoana vizată a furnizat datele cu caracter personal și prelucrarea se bazează pe consimțământul acesteia sau pe un contract, persoana vizată are dreptul de a transmite aceste date cu caracter personal, precum și orice altă informație furnizată de persoana vizată și păstrată de un sistem automatizat de prelucrare, într-un alt sistem, într-un format electronic care este utilizat în mod curent, fără ca operatorul de la care sunt retrase datele cu caracter personal să poată împiedica acest lucru.

 

(3) Comisia poate specifica formatul electronic prevăzut la alineatul (1), precum și normele tehnice, modalitățile și procedurile de transmitere a datelor cu caracter personal în conformitate cu alineatul (2). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

 

Amendamentul  114

Propunere de regulament

Articolul 19

Textul propus de Comisie

Amendamentul

Dreptul la opoziție

Dreptul la opoziție

(1) În orice moment, persoana vizată are dreptul de a se opune, pe motive legate de situația specială în care se află, prelucrării datelor cu caracter personal pe care se bazează pe articolul 6 alineatul (1) literele (d), (e) și (f), cu excepția cazului în care operatorul demonstrează că motivele legitime și imperioase care justifică prelucrarea primează asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate.

(1) În orice moment, persoana vizată are dreptul de a se opune prelucrării datelor cu caracter personal care se bazează pe articolul 6 alineatul (1) literele (d) și (e), cu excepția cazului în care operatorul demonstrează că motivele legitime și imperioase care justifică prelucrarea primează asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate.

(2) Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune gratuit prelucrării datelor sale cu caracter personal în acest scop. Acest drept este explicit oferit persoanei vizate, într-un mod inteligibil, care să se poată distinge în mod clar de alte informații.

(2) Atunci când prelucrarea datelor cu caracter personal se bazează pe articolul 6 alineatul (1) litera (f), persoana vizată are dreptul, în orice moment și fără o justificare suplimentară, de a se opune gratuit în general sau într-un scop specific prelucrării datelor sale cu caracter personal.

 

(2a) Acest drept menționat la alineatul (2) este explicit oferit persoanei vizate, într-un mod și într-o formă inteligibile, utilizând un limbaj clar și simplu, în special pentru orice informație adresată în mod expres unui minor, care să se poată distinge în mod clar de alte informații.

 

(2b) În contextual utilizării serviciilor societății informaționale și fără a aduce atingere Directivei 2002/58/CE, dreptul la opoziție poate fi exercitat prin mijloace automate, folosind standarde tehnice care permit persoanei vizate să își exprime în mod clar dorințele.

(3) În cazul în care există o opoziție în conformitate cu alineatele (1) și (2), operatorul nu mai utilizează sau nu mai prelucrează respectivele datele cu caracter personal.

(3) În cazul în care există o opoziție în conformitate cu alineatele (1) și (2), operatorul nu mai utilizează sau nu mai prelucrează respectivele datele cu caracter personal în scopurile stabilite în opoziție.

(Ultima frază de la aliniatul (2) din textul Comisiei a devenit aliniatul (2a) în amendamentul Parlamentului).

Amendamentul  115

Propunere de regulament

Articolul 20

Textul propus de Comisie

Amendamentul

Măsuri bazate pe crearea de profiluri

Crearea de profiluri

(1) Orice persoană fizică are dreptul de a nu fi supusă unei măsuri care produce efecte juridice privind această persoană fizică sau care o afectează în mod semnificativ și care se bazează exclusiv pe prelucrarea automată menită să evalueze anumite aspecte personale privind această persoană fizică sau să analizeze ori să prevadă, în special, performanțele persoanei fizice la locul de muncă, situația sa economică, locul în care se află, sănătatea, preferințele personale, încrederea de care se bucură sau comportamentul acestuia.

(1) Fără a aduce atingere dispozițiilor articolului 6, orice persoană fizică are dreptul de a se opune creării de profiluri, în conformitate cu articolul 19. Persoana vizată este informată cu privire la dreptul de a se opune creării de profiluri într-un mod foarte vizibil.

(2) Sub rezerva celorlalte dispoziții din prezentul regulament, o persoană poate fi supusă unei măsuri de acest tip, astfel cum se prevede la alineatul (1), numai dacă prelucrarea datelor:

(2) Sub rezerva celorlalte dispoziții din prezentul regulament, o persoană poate fi supusă creării de profiluri care duce la măsuri care dau naștere unor efecte juridice privind persoana vizată sau are un impact semnificativ asupra intereselor, drepturilor și libertăților persoanei vizate numai dacă prelucrarea datelor:

(b) este autorizat în mod expres de legislația Uniunii sau a unui stat membru, care prevede, de asemenea, măsuri corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate sau

(b) este autorizat în mod expres de legislația Uniunii sau a unui stat membru, care prevede, de asemenea, măsuri corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate;

(c) se bazează pe consimțământul persoanei vizate, sub rezerva condițiilor prevăzute la articolul 7 și a unor garanții corespunzătoare.

(c) se bazează pe consimțământul persoanei vizate, sub rezerva condițiilor prevăzute la articolul 7 și a unor garanții corespunzătoare.

(3) Prelucrarea automată a datelor cu caracter personal menite să evalueze anumite aspecte personale referitoare la o persoană fizică nu se bazează exclusiv pe categoriile speciale de date cu caracter personal la care se face referire la articolul 9.

(3) Se interzice crearea de profiluri care are drept efect discriminarea împotriva persoanelor fizice pe baza originii rasiale sau etnice, a opiniilor politice, a religiei sau a convingerilor, a apartenenței sindicale, a orientării sexuale sau a identității de gen sau care are drept rezultat măsuri ce au astfel de efecte. Operatorul asigură protecția eficace împotriva tuturor discriminărilor care pot decurge din crearea de profiluri. Crearea de profiluri nu se bazează exclusiv pe categoriile speciale de date cu caracter personal la care se face referire la articolul 9.

(4) În cazurile menționate la alineatul (2), informațiile pe care operatorul trebuie să le furnizeze în temeiul articolului 14 includ informații despre existența prelucrării, pentru o măsură de tipul celei la care se face referire la alineatul (1), precum și despre efectele preconizate ale acestei prelucrări asupra persoanei vizate.

 

(5) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente măsurilor corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate menționate la alineatul (2).

(5) Crearea de profiluri care duce la măsuri care dau naștere unor efecte juridice privind persoana vizată sau care are un impact semnificativ asupra intereselor, drepturilor și libertăților persoanei vizate nu se bazează exclusiv ou în principal pe prelucrarea automatizată și include o apreciere umană, inclusiv explicația privind decizia luată în urma acestei aprecieri. Măsurile corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate menționate la alineatul (2) includ dreptul de a obține o apreciere umană și explicația privind decizia luată în urma acestei aprecieri.

 

(5a) Comitetul european pentru protecția datelor are sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) cu scopul detalierii criteriilor și condițiilor aplicabile creării de profiluri în temeiul alineatului (2).

Amendamentul  116

Propunere de regulament

Articolul 21

Textul propus de Comisie

Amendamentul

Restricții

Restricții

(1) Legislația Uniunii sau a statului membru poate restrânge printr-o măsură legislativă domeniul de aplicare a obligațiilor și a drepturilor prevăzute la articolul 5 literele (a) - (e), la articolele 11 - 20 și la articolul 32, atunci când o astfel de restricție constituie o măsură necesară și proporțională într-o societate democratică pentru a:

(1) Legislația Uniunii sau a statului membru poate restrânge printr-o măsură legislativă domeniul de aplicare a obligațiilor și a drepturilor prevăzute la articolele 11-19 și la articolul 32, cu condiția ca această restricție să îndeplinească un obiectiv clar definit de interes public, să respecte esența dreptului la protecția datelor cu caracter personal, să fie proporțională cu scopul legitim urmărit și să respecte drepturile fundamentale și interesele persoanei vizate și constituie o măsură necesară și proporțională într-o societate democratică pentru a:

(a) garanta securitatea publică;

(a) garanta securitatea publică;

(b) asigura prevenirea, cercetarea, depistarea și urmărirea în justiție a infracțiunilor;

(b) asigura prevenirea, cercetarea, depistarea și urmărirea în justiție a infracțiunilor;

(c) proteja alte interese publice ale Uniunii Europene sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar și fiscal, precum și stabilitatea și integritatea pieței;

(c) domeniul fiscal;

(d) asigura prevenirea, investigarea, detectarea și punerea sub urmărire a încălcării eticii în cazul profesiunilor reglementate;

(d) asigura prevenirea, investigarea, detectarea și punerea sub urmărire a încălcării eticii în cazul profesiunilor reglementate;

(e) asigura funcția de monitorizare, inspectare sau reglementare legată, chiar și ocazional, de exercitarea autorității publice în cazurile menționate la literele (a), (b),(c) și (d);

(e) asigura funcția de monitorizare, inspectare sau reglementare în cadrul exercitării autorității publice competente în cazurile menționate la literele (a), (b),(c) și (d);

(f) asigura protecția persoanei vizate sau a drepturilor și libertăților altora.

(f) asigura protecția persoanei vizate sau a drepturilor și libertăților altora.

(2) În special, orice măsură legislativă menționată la alineatul (1) conține dispoziții specifice, cel puțin în ceea ce privește obiectivele care trebuie avute în vedere în cadrul procesului de prelucrare și stabilirea operatorului.

(2) În special, orice măsură legislativă menționată la alineatul (1) trebuie să fie necesară și proporțională într-o societate democratică și să conțină dispoziții specifice, cel puțin în ceea ce privește:

 

(a) obiectivele care trebuie avute în vedere în cadrul procesului de prelucrare;

 

(b) stabilirea operatorului;

 

(c) scopurile specifice și mijloacele de prelucrare;

 

(d) garanțiile pentru a preveni abuzurile sau accesul sau transferul ilegale;

 

(e) dreptul persoanelor vizate de a fi informate despre restricții.

 

(2a) Măsurile legislative menționate la alineatul (1) nu permit operatorilor privați să păstreze date în plus față de cele strict necesare pentru scopul inițial și nici nu impun obligații în acest sens.

(Ultima parte a alineatului (2) din textul Comisiei a devenit literele (a) și (b) în amendamentul Parlamentului).

Amendamentul  117

Propunere de regulament

Articolul 22

Textul propus de Comisie

Amendamentul

Responsabilitatea operatorului

Responsabilitatea și răspunderea operatorului

(1) Operatorul adoptă politici și pune în aplicare măsuri adecvate pentru a garanta și a putea demonstra că prelucrarea datelor cu caracter personal se efectuează în conformitate cu prezentul regulament.

(1) Operatorul adoptă politici corespunzătoare și pune în aplicare măsuri tehnice și organizatorice adecvate și demonstrabile pentru a garanta și a putea demonstra în mod transparent că prelucrarea datelor cu caracter personal se efectuează în conformitate cu prezentul regulament, ținând cont de cele mai noi tehnologii în materie, de natura procedurii de prelucrare a datelor cu caracter personal, de contextul, amploarea și scopurile prelucrării, de riscurile la adresa drepturilor și libertăților persoanelor vizate, precum și de tipul organizației, atât la momentul stabilirii mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise.

 

(1a) Având în vedere stadiul actual al tehnicii și costurile punerii în aplicare, operatorul ia toate măsurile rezonabile pentru a aplica politici și proceduri de conformare care respectă în permanență opțiunile autonome ale persoanelor vizate. Aceste politici de conformare sunt revizuite cel puțin o dată la doi ani și actualizate ori de câte ori este necesar.

(2) Măsurile prevăzute la alineatul (1) cuprind în special:

 

(a) păstrarea documentației, în conformitate cu articolul 28;

 

(b) punerea în aplicare a cerințelor privind securitatea datelor prevăzute la articolul 30;

 

(c) efectuarea unei evaluări a impactului privind protecția datelor, în conformitate cu articolul 33;

 

(d) respectarea cerințelor privind autorizarea prealabilă sau consultarea prealabilă a autorității de supraveghere, în conformitate cu articolul 34 alineatele (1) și (2);

 

(e) desemnarea unui responsabil cu protecția datelor, în conformitate cu articolul 35 alineatul (1).

 

(3) Operatorul pune în aplicare mecanisme pentru a asigura verificarea eficacității măsurilor menționate la alineatele (1) și (2). Dacă se dovedește a fi proporțională, această verificare va fi efectuată de auditori interni sau externi independenți.

(3) Operatorul este în măsură să demonstreze caracterul adecvat și eficacitatea măsurilor menționate la alineatele (1) și (2). Toate rapoartele periodice generale ale activităților operatorului, precum rapoartele obligatorii ale societăților cotate la bursă, cuprind o descriere sintetică a politicilor și măsurilor menționate la alineatul (1).

 

(3a) Operatorul are dreptul să transmită datele cu caracter personal în interiorul Uniunii în cadrul grupului de întreprinderi din care acesta face parte, atunci când această etapă a prelucrării este necesară în scopuri administrative interne și legitime între domenii de activitate conectate ale grupului de întreprinderi și atât timp cât un nivel corespunzător de protecție a datelor, precum și protecția intereselor persoanelor vizate sunt garantate de norme interne de protecție a datelor sau de coduri de conduită echivalente, astfel cum sunt menționate la articolul 38.

(4) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor măsurilor corespunzătoare menționate la alineatul (1), altele decât cele menționate la alineatul (2), condițiile pentru verificare și mecanismele de audit menționate la alineatul (3) și criteriile de proporționalitate prevăzute la alineatul (3), și în scopul de a prevedea măsuri specifice pentru microîntreprinderi și pentru întreprinderile mici și mijlocii.

 

Amendamentul  118

Propunere de regulament

Articolul 23

Textul propus de Comisie

Amendamentul

Protecția datelor începând cu momentul conceperii și protecția implicită a datelor

Protecția datelor începând cu momentul conceperii și protecția implicită a datelor

(1) Având în vedere stadiul actual al tehnicii și costurile de implementare, operatorul pune în aplicare, atât în momentul stabilirii mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise, măsuri și proceduri tehnice și organizatorice corespunzătoare astfel încât prelucrarea să îndeplinească cerințele prezentului regulament și să asigure protecția drepturilor persoanei vizate.

(1) Având în vedere stadiul actual al tehnicii, cunoștințele tehnice actuale, cele mai bune practici interne și riscurile reprezentate de prelucrarea datelor, operatorul și persoana împuternicită de acesta, dacă există, pun în aplicare, atât în momentul stabilirii scopurilor și mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise, măsuri și proceduri tehnice și organizatorice corespunzătoare și proporționale, astfel încât prelucrarea să îndeplinească cerințele prezentului regulament și să asigure protecția drepturilor persoanei vizate, îndeosebi în ceea ce privește principiile menționate la articolul 5. Protecția datelor încă din momentul conceperii ține seama în mod deosebit de gestionarea întregului ciclu de viață al datelor cu caracter personal, de la colectare la prelucrare și la eliminare, axându-se în mod sistematic pe garanții procedurale cuprinzătoare cu privire la acuratețea, confidențialitatea, integritatea, securitatea fizică și eliminarea datelor cu caracter personal. În cazul în care operatorul a realizat o evaluare a impactului asupra protecției datelor în temeiul articolului 33, se ține seama de rezultatele acesteia în elaborarea măsurilor și procedurilor.

 

(1a) Pentru stimularea unei aplicări generalizate în diferite sectoare economice, protecția datelor încă din faza de concepție reprezintă o condiție prealabilă obligatorie pentru procedurile de achiziții publice, în conformitate cu Directiva 2004/18/CE a Parlamentului European și a Consiliului1, precum și cu Directiva 2004/17/CE a Parlamentului European și a Consiliului2 (Directiva privind utilitățile publice).

(2) Operatorul pune în aplicare mecanisme care garantează că, implicit, se prelucrează numai datele cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării și că aceste date colectate sau păstrate nu depășesc pragul minim necesar pentru îndeplinirea acestor scopuri, atât în ceea ce privește volumul datelor, cât și perioada de stocare a acestora. În special, aceste mecanisme asigură că, implicit, datele cu caracter personal nu sunt accesibile unui număr nelimitat de persoane.

(2) Operatorul garantează că, implicit, se prelucrează numai datele cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării și că aceste date colectate, păstrate sau diseminate nu depășesc pragul minim necesar pentru îndeplinirea acestor scopuri, atât în ceea ce privește volumul datelor, cât și perioada de stocare a acestora. În special, aceste mecanisme asigură că, implicit, datele cu caracter personal nu sunt accesibile unui număr nelimitat de persoane și că persoanele vizate pot să controleze gradul de difuzare a datelor lor cu caracter personal.

(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente măsurilor și mecanismelor de certificare menționate la alineatele (1) și (2), în special în ceea ce privește cerințele legate de protecția datelor începând cu momentul conceperii aplicabile în cazul tuturor sectoarelor, al produselor și al serviciilor.

 

(4) Comisia poate stabili standarde tehnice pentru cerințele menționate la alineatele (1) și (2). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

 

 

1 Directiva 2004/18/CE a Parlamentului European și a Consiliului din 31 martie 2004 privind coordonarea procedurilor de atribuire a contractelor de achiziții publice de lucrări, de bunuri și de servicii (JO L 134, 30.4.2004, p. 114).

2 Directiva 2004/17/CE a Parlamentului European și a Consiliului din 31 martie 2004 de coordonare a procedurilor de atribuire a contractelor publice din sectoarele apei, energiei, transporturilor și serviciilor poștale (JO L 134, 30.4.2004, p. 1).

Amendamentul  119

Propunere de regulament

Articolul 24

Textul propus de Comisie

Amendamentul

Operatori asociați

Operatori asociați

Atunci când un operator stabilește, împreună cu alți operatori, scopul, condițiile și mijloacele de prelucrare a datelor cu caracter personal, operatorii asociați stabilesc, de comun acord, responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește procedurile și mecanismele de exercitare a drepturilor persoanelor vizate, prin intermediul unui acord între acestea.

Atunci când mai mulți operatori stabilesc în comun scopul și mijloacele de prelucrare a datelor cu caracter personal, operatorii asociați își îndeplinesc, în egală măsură, responsabilitățile în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește procedurile și mecanismele de exercitare a drepturilor persoanelor vizate, prin intermediul unui acord între acestea. Acordul reflectă în mod corespunzător rolurile și relațiile efective ale operatorilor asociați față de persoanele vizate, iar esența acestuia este făcută cunoscută persoanelor vizate. În cazul unor neclarități privind responsabilitățile, operatorii sunt responsabili în mod solidar.

Amendamentul  120

Propunere de regulament

Articolul 25

Textul propus de Comisie

Amendamentul

Reprezentanții operatorilor care nu își au sediul în Uniune

Reprezentanții operatorilor care nu își au sediul în Uniune

(1) În situația menționată la articolul 3 alineatul (2), operatorul desemnează un reprezentant în Uniune.

(1) În situația menționată la articolul 3 alineatul (2), operatorul desemnează un reprezentant în Uniune.

(2) Prezenta obligație nu se aplică:

(2) Prezenta obligație nu se aplică:

(a) unui operator cu sediul într-o țară terță, în cazul în care Comisia a decis că această țară terță asigură un nivel adecvat de protecție în conformitate cu articolul 41 sau

(a) unui operator cu sediul într-o țară terță, în cazul în care Comisia a decis că această țară terță asigură un nivel adecvat de protecție în conformitate cu articolul 41; or

(b) unei întreprinderi cu mai puțin de 250 de angajați sau

(b) unui operator care prelucrează date cu caracter personal referitoare la un număr mai mic de 5 000 de persoane vizate pe parcursul a 12 luni consecutive și unui operator care nu prelucrează categorii speciale de date cu caracter special, astfel cum sunt menționate la articolul 9 alineatul (1), date de localizare sau date referitoare la minori sau angajați din sistemele de evidență a datelor de mari dimensiuni sau

(c) unei autorități sau unui organism public sau

(c) unei autorități sau unui organism public sau

(d) unui operator care furnizează numai ocazional bunuri sau servicii persoanelor vizate care își au reședința pe teritoriul Uniunii.

(d) unui operator care furnizează numai ocazional bunuri sau servicii persoanelor vizate pe teritoriul Uniunii, cu excepția cazului în care prelucrarea datelor cu caracter special privește categoriile speciale de date cu caracter special, astfel cum sunt menționate la articolul 9 alineatul (1), datele de localizare sau datele referitoare la minori sau angajați, din sistemele de evidență a datelor de mari dimensiuni.

(3) Reprezentantul își are sediul în unul dintre statele membre în care își au reședința persoanele vizate ale căror date cu caracter personal sunt prelucrate în legătură cu furnizarea de bunuri și servicii sau a căror conduită este monitorizată.

(3) Reprezentantul își are sediul în unul dintre statele membre în care se produc furnizarea de bunuri și servicii persoanelor vizate sau monitorizarea lor.

(4) Desemnarea unui reprezentant de către operator nu aduce atingere acțiunilor în justiție care ar putea fi introduse împotriva operatorului însuși.

(4) Desemnarea unui reprezentant de către operator nu aduce atingere acțiunilor în justiție care ar putea fi introduse împotriva operatorului însuși.

Amendamentul  121

Propunere de regulament

Articolul 26

Textul propus de Comisie

Amendamentul

Persoana împuternicită de către operator

Persoana împuternicită de către operator

(1) În cazul în care o operațiune de prelucrare se realizează în numele operatorului, operatorul alege o persoană împuternicită care oferă garanții suficiente pentru punerea în aplicare a măsurilor și a procedurilor tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate, în special în ceea ce privește măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată, și veghează la respectarea acestor măsuri.

(1) În cazul în care prelucrarea se realizează în numele operatorului, operatorul alege o persoană împuternicită care oferă garanții suficiente pentru punerea în aplicare a măsurilor și a procedurilor tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate, în special în ceea ce privește măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată, și veghează la respectarea acestor măsuri.

(2) Modul în care o persoană împuternicită de către operator efectuează prelucrarea este reglementată printr-un contract sau printr-un alt act juridic care obligă persoana împuternicită de către operator în raport cu operatorul și care prevede, în special, că persoana împuternicită de către operator:

(2) Modul în care o persoană împuternicită de către operator efectuează prelucrarea este reglementată printr-un contract sau printr-un alt act juridic care obligă persoana împuternicită de către operator în raport cu operatorul. Operatorul și persoana împuternicită de către operator au libertatea de a stabili rolurile și sarcinile cu privire la cerințele prezentului regulament și se asigură că persoana împuternicită de către operator:

(a) acționează numai la instrucțiunile operatorului, în special în cazul în care transferul de date cu caracter personal utilizate este interzis;

(a) prelucrează datele cu caracter personal numai la instrucțiunile operatorului, cu excepția cazului în care dreptul Uniunii sau legislația statului membru prevede altfel;

(b) angajează numai personal care s-a angajat să respecte confidențialitatea sau care sunt obligați prin lege să respecte confidențialitatea;

(b) angajează numai personal care s-a angajat să respecte confidențialitatea sau care sunt obligați prin lege să respecte confidențialitatea;

(c) adoptă toate măsurile necesare în conformitate cu articolul 30;

(c) adoptă toate măsurile necesare în conformitate cu articolul 30;

(d) recrutează o altă persoană împuternicită de către operator numai cu autorizarea prealabilă a operatorului;

(d) stabilește condițiile recrutării unei alte persoane împuternicite de către operator numai cu autorizarea prealabilă a operatorului, cu excepția unor dispoziții contrare;

(e) în măsura în care acest lucru este posibil, având în vedere caracterul prelucrării, creează, în acord cu operatorul, condițiile tehnice și organizatorice necesare pentru ca operatorul să își îndeplinească obligația de a răspunde cererilor privind exercitarea, de către persoana vizată, a drepturilor prevăzute în capitolul III;

(e) în măsura în care acest lucru este posibil, având în vedere caracterul prelucrării, creează, în acord cu operatorul, condițiile tehnice și organizatorice corespunzătoare și relevante pentru ca operatorul să își îndeplinească obligația de a răspunde cererilor privind exercitarea, de către persoana vizată, a drepturilor prevăzute în capitolul III;

(f) ajută operatorul să asigure respectarea obligațiilor prevăzute la articolele 30 și 34;

(f) ajută operatorul să asigure respectarea obligațiilor prevăzute la articolele 30 și 34, ținând seama de caracterul prelucrării și informațiile aflate la dispoziția persoanei împuternicite de operator;

(g) transmite operatorului toate rezultatele după terminarea procesului de prelucrare și nu prelucrează în nici un alt mod datele cu caracter personal;

(g) transmite operatorului toate rezultatele după terminarea procesului de prelucrare, nu prelucrează în niciun alt mod datele cu caracter personal și elimină copiile existente, cu excepția cazului în care dreptului Uniunii sau legislația statelor membre prevede stocarea datelor;

(h) pune la dispoziția operatorului și a autorității de supraveghere toate informațiile necesare pentru a se controla respectarea obligațiilor prevăzute la prezentul articol.

(h) pune la dispoziția operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la prezentul articol și permite inspecții la fața locului.

(3) Operatorul și persoana împuternicită de către operator păstrează o dovadă scrisă a instrucțiunilor prezentate de operator și a obligațiilor care îi revin persoanei împuternicite de către operator menționate la alineatul (2).

(3) Operatorul și persoana împuternicită de către operator păstrează o dovadă scrisă a instrucțiunilor prezentate de operator și a obligațiilor care îi revin persoanei împuternicite de către operator menționate la alineatul (2).

 

(3a) Garanțiile suficiente menționate la alineatul (1) pot fi demonstrate prin aderarea la codurile de conduită sau mecanismele de certificare în conformitate cu articolele 38 și 39 din prezentul regulament.

(4) În cazul în care o persoană împuternicită de către operator prelucrează datele cu caracter personal într-un alt mod decât cel prevăzut în instrucțiunile date de operator, persoana împuternicită de către operator este considerată responsabilă de prelucrarea datelor în ceea ce privește prelucrarea respectivă și face obiectul dispozițiilor privind operatorii asociați prevăzute la articolul 24.

(4) În cazul în care o persoană împuternicită de către operator prelucrează date cu caracter personal într-un alt mod decât cel prevăzut în instrucțiunile date de operator sau devine parte determinantă în legătură cu scopul și mijloacele de prelucrare a datelor cu caracter personal, persoana împuternicită de către operator este considerată operator pentru prelucrarea respectivă și face obiectul dispozițiilor privind operatorii asociați prevăzute la articolul 24.

(5) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente responsabilităților, drepturilor și sarcinilor unei persoane împuternicite de către operator în conformitate cu alineatul (1), precum și condițiilor care permit facilitarea procesului de prelucrare a datelor cu caracter personal în cadrul unui grup de întreprinderi, în special pentru verificare și raportare.

 

Amendamentul                     122

Propunere de regulament

Articolul 28

Textul propus de Comisie

Amendamentul

Documentația

Documentația

(1) Fiecare operator și persoană împuternicită de operator și, dacă este cazul, reprezentantul operatorului, păstrează documentația referitoare la toate operațiunile de prelucrare derulate sub responsabilitatea sa.

(1) Fiecare operator și persoană împuternicită de operator păstrează documentația actualizată periodic, necesară pentru îndeplinirea cerințelor prevăzute în prezentul regulament.

(2) Această documentație cuprinde cel puțin următoarele informații:

(2) În plus, fiecare operator și persoană împuternicită de operator păstrează documentație referitoare la următoarele informații:

(a) numele și datele de contact ale operatorului, sau ale oricărui operator asociat sau ale oricărei persoane împuternicite de către operator, dacă este cazul;

(a) numele și datele de contact ale operatorului, sau ale oricărui operator asociat sau ale oricărei persoane împuternicite de către operator, dacă este cazul;

(b) numele și datele de contact ale responsabilului cu protecția datelor, dacă este cazul;

(b) numele și datele de contact ale responsabilului cu protecția datelor, dacă este cazul;

(c) scopul prelucrării datelor, inclusiv interesele legitime urmărite de responsabilul cu prelucrarea, atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (f);

 

(d) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal care le privesc;

 

(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, inclusiv operatorii cărora le sunt comunicate datele cu caracter personal în interesul legitim pe care îl urmăresc;

(c) numele și datele de contact ale operatorilor cărora le sunt comunicate datele cu caracter personal, dacă există;

(f) dacă este cazul, transferurile de date către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor prevăzute la articolul 44 alineatul (1) litera (h), documentația care dovedește existența unor garanții corespunzătoare;

 

(g) o indicație generală a termenelor-limită pentru ștergerea diferitelor categorii de date;

 

(h) descrierea mecanismelor prevăzute la articolul 22 alineatul (3).

 

(3) Operatorul și persoana împuternicită de către operator și, dacă este cazul, reprezentantul operatorului, pune documentația la dispoziția autorității de supraveghere, la cererea acesteia.

 

(4) Obligațiile menționate la alineatele (1) și (2) nu se aplică următoarelor categorii de operatori și persoane împuternicite de către operatori:

 

(a) persoanelor fizice care prelucrează date cu caracter personal fără vreun interes comercial; sau

 

(b) întreprinderilor sau organizațiilor cu mai puțin de 250 de angajați care prelucrează date cu caracter personal doar ca o activitate auxiliară activităților sale principale.

 

(5) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor referitoare la documentația la care se face referire la alineatul (1), pentru a ține seama în special de responsabilitățile operatorului și ale persoanei împuternicite de către operator și, dacă este cazul, de responsabilitățile reprezentantului operatorului.

 

(6) Comisia poate să conceapă formulare standard pentru documentele la care se face referire la alineatul (1). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

 

Amendamentul  123

Propunere de regulament

Articolul 29 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Operatorul și persoana împuternicită de către operator și, dacă este cazul, reprezentantul operatorului cooperează, la cerere, cu autoritatea de supraveghere pentru a-și îndeplini sarcinile care le revin, în special prin furnizarea informațiilor menționate la articolul 53 alineatul (2) litera (a) și prin asigurarea accesului prevăzut la același alineat litera (b).

(1) Operatorul și, dacă este cazul, persoana împuternicită de către operator și reprezentantul operatorului cooperează, la cerere, cu autoritatea de supraveghere pentru a-și îndeplini sarcinile care le revin, în special prin furnizarea informațiilor menționate la articolul 53 alineatul (2) litera (a) și prin asigurarea accesului prevăzut la același alineat litera (b).

Amendamentul  124

Propunere de regulament

Articolul 30

Textul propus de Comisie

Amendamentul

Securitatea prelucrării

Securitatea prelucrării

(1) Operatorul și persoana împuternicită de către operator pun în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate, în concordanță cu riscurile pe care le presupune prelucrarea și cu caracterul datelor cu caracter personal care trebuie protejate, având în vedere stadiul actual al tehnologiei și costurile punerii lor în aplicare.

(1) Operatorul și persoana împuternicită de operator pun în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate care să fie în concordanță cu riscurile pe care le presupune prelucrarea, ținând cont de rezultatele unei evaluări de impact privind protecția datelor în conformitate cu articolul 33, având în vedere stadiul actual al tehnologiei și costurile punerii lor în aplicare.

 

(1a) Având în vedere stadiul actual al tehnologiei și costurile punerii în aplicare, această politică de securitate trebuie să includă:

 

(a) capacitatea de a asigura faptul că integritatea datelor cu caracter personal este validată;

 

(b) capacitatea de a asigura o confidențialitate, integritate, disponibilitate și rezistență continuă a sistemelor și serviciilor de prelucrare a datelor cu caracter personal;

 

(c) capacitatea de a restabili disponibilitatea datelor și accesul la acestea în timp util în cazul în care un incident de natură fizică sau tehnică are un impact negativ asupra disponibilității, integrității și confidențialității sistemelor și serviciilor informatice;

 

(d) în cazul prelucrării datelor sensibile cu caracter personal, în conformitate cu articolele 8 și 9, măsuri de securitate suplimentare pentru a garanta conștientizarea diferitelor situații care presupun riscuri și capacitatea de a adopta măsuri preventive, corective și de atenuare în timp aproape real pentru a răspunde vulnerabilităților și incidentelor detectate care ar putea constitui riscuri pentru securitatea datelor;

 

(e) un proces pentru testarea, evaluarea și aprecierea eficacității politicilor, procedurilor și planurilor de securitate, al cărui scop este să asigure menținerea eficacității.

(2) În urma unei evaluări a riscurilor, operatorul și persoana împuternicită de operator adoptă măsurile prevăzute la alineatul (1) pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale ori a pierderii accidentale, și pentru prevenirea oricărei forme de prelucrare ilegală, în special divulgarea, accesul sau diseminarea neautorizată ori modificarea datelor cu caracter personal.

(2) Măsurile prevăzute la alineatul (1) respectă cel puțin următoarele cerințe:

 

(a) garantează că datele cu caracter personal pot fi accesate exclusiv de personalul autorizat și în scopuri autorizate din punct de vedere juridic;

 

(b) protejează datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale sau ilegale, a pierderii sau deteriorării accidentale și a stocării, prelucrării, accesării sau divulgării neautorizate sau ilegale; precum și

 

(c) asigură punerea în aplicare a unei politici de securitate în ceea ce privește prelucrarea datelor cu caracter personal.

(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor referitoare la măsurile tehnice și organizatorice prevăzute la alineatele (1) și (2), stabilind inclusiv care este stadiul actual al tehnologiei pentru anumite sectoare și în anumite situații de prelucrare a datelor, ținând seama în special de evoluția tehnologiei și a soluțiilor de proiectare pentru protecția datelor începând cu momentul conceperii și cel al protecției implicite a datelor, cu excepția cazului în care se aplică alineatul (4).

(3) Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) referitoare la măsurile tehnice și organizatorice prevăzute la alineatele (1) și (2), stabilind inclusiv care este stadiul actual al tehnologiei pentru anumite sectoare și în anumite situații de prelucrare a datelor, ținând seama în special de evoluția tehnologiei și a soluțiilor de proiectare pentru protecția datelor începând cu momentul conceperii și cel al protecției implicite a datelor.

(4) Comisia poate adopta, dacă este cazul, acte de punere în aplicare pentru specificarea cerințelor prevăzute la alineatele (1) și (2) în diverse situații, în special pentru a:

 

(a) preveni accesul neautorizat la date cu caracter personal;

 

(b) preveni orice act neautorizat de divulgare, citire, copiere, modificare, ștergere sau eliminare a datelor cu caracter personal;

 

(c) asigura verificarea legalității operațiunilor de prelucrare.

 

Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

 

[Alineatul (2) din textul Comisiei a devenit parțial litera (b) în amendamentul Parlamentului.]

Amendamentul  125

Propunere de regulament

Articolul 31

Textul propus de Comisie

Amendamentul

Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal

Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal

(1) În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere fără întârzieri nejustificate și, în cazul în care este posibil, în termen de cel mult 24 de ore de la data la care a luat cunoștință de aceasta. Notificarea autorității de supraveghere trebuie să fie însoțită de o explicație motivată în cazul în care aceasta nu are loc în termen de 24 de ore.

(1) În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere fără întârzieri nejustificate.

(2) În conformitate cu articolul 26 alineatul (2) litera (f), persoana împuternicită de către operator îl previne și îl informează pe operator imediat după ce s-a constatat încălcarea securității datelor cu caracter personal.

(2) Persoana împuternicită de către operator îl previne și îl informează pe operator fără întârzieri nejustificate după ce s-a constatat încălcarea securității datelor cu caracter personal.

(3) Notificarea menționată la alineatul (1) trebuie cel puțin:

(3) Notificarea menționată la alineatul (1) trebuie cel puțin:

(a) să descrie caracterul încălcării securității datelor cu caracter personal, inclusiv categoriile și numărul persoanelor vizate în cauză și categoriile și numărul de înregistrări de date în cauză;

(a) să descrie caracterul încălcării securității datelor cu caracter personal, inclusiv categoriile și numărul persoanelor vizate în cauză și categoriile și numărul de înregistrări de date în cauză;

(b) să comunice identitatea și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;

(b) să comunice identitatea și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;

(c) să recomande măsuri de atenuare a eventualelor efecte negative ale încălcării securității datelor cu caracter personal;

(c) să recomande măsuri de atenuare a eventualelor efecte negative ale încălcării securității datelor cu caracter personal;

(d) să descrie consecințele încălcării securității datelor cu caracter personal;

(d) să descrie consecințele încălcării securității datelor cu caracter personal;

(e) să descrie măsurile propuse sau adoptate de operator pentru a remedia problema încălcării securității datelor cu caracter personal.

(e) să descrie măsurile propuse sau adoptate de operator pentru a remedia problema încălcării securității datelor cu caracter personal și a limita efectele acesteia.

Dacă este necesar, informațiile pot fi furnizate treptat.

(4) Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației în care a avut loc încălcarea, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație trebuie să permită autorității de supraveghere să verifice conformitatea cu prezentul articol. Documentația respectivă include numai informațiile necesare în acest scop.

(4) Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației în care a avut loc încălcarea, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație trebuie să fie suficientă pentru a permite autorității de supraveghere să verifice conformitatea cu prezentul articol și cu articolul 30. Documentația respectivă include numai informațiile necesare în acest scop.

 

(4a) Autoritatea de supraveghere ține un registru public al tipurilor de încălcare notificate.

(5) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul de a indica mai detaliat criteriile și cerințele necesare pentru stabilirea încălcării menționate la alineatele (1) și (2) și pentru circumstanțele speciale în care un operator și o persoană împuternicită de către operator au obligația de a notifica încălcarea securității datelor cu caracter personal.

(5) Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) pentru stabilirea încălcării și stabilirii întârzierilor nejustificate menționate la alineatele (1) și (2) și pentru circumstanțele speciale în care un operator și o persoană împuternicită de către operator au obligația de a notifica încălcarea securității datelor cu caracter personal.

(6) Comisia poate stabili un format standard al notificării adresate autorității de supraveghere, procedurile aplicabile în cazul obligației de notificare și forma și modalitățile de întocmire a documentației la care se face referire la alineatul (4), inclusiv termenele pentru ștergerea informațiilor conținute în această documentație. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

 

Amendamentul  126

Propunere de regulament

Articolul 32

Textul propus de Comisie

Amendamentul

Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal

Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal

(1) Atunci când încălcarea securității datelor cu caracter personal pune în pericol protecția datelor cu caracter personal și a vieții private a persoanei vizate, operatorul, după notificarea prevăzută la articolul 31, informează persoana vizată, fără întârzieri nejustificate, cu privire la încălcarea securității datelor cu caracter personal.

(1) Atunci când încălcarea securității datelor cu caracter personal pune în pericol protecția datelor cu caracter personal, a vieții private a persoanei vizate, a drepturilor sau intereselor sale legitime, operatorul, după notificarea prevăzută la articolul 31, informează persoana vizată, fără întârzieri nejustificate, cu privire la încălcarea securității datelor cu caracter personal.

(2) Informarea persoanei vizate prevăzută la alineatul (1) cuprinde o descriere a caracterului încălcării securității datelor cu caracter personal și conține cel puțin informațiile și recomandările prevăzute la articolul 31 alineatul (3) literele (b) și (c).

(2) Informarea persoanei vizate prevăzută la alineatul (1) este detaliată și utilizează un limbaj clar și explicit. Ea descrie caracterul încălcării securității datelor cu caracter personal și conține cel puțin informațiile și recomandările prevăzute la articolul 31 alineatul (3) literele (b), (c) și (d) și informațiile despre drepturile persoanei vizate, inclusiv căile de atac.

(3) Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal a persoanei vizate nu este necesară în cazul în care operatorul demonstrează, într-un mod satisfăcător, autorității de supraveghere că a pus în aplicare măsuri tehnologice adecvate de protecție și că respectivele măsuri au fost aplicate în cazul datelor afectate de încălcarea securității datelor cu caracter personal. Astfel de măsuri tehnologice de protecție trebuie să asigure că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze.

(3) Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal a persoanei vizate nu este necesară în cazul în care operatorul demonstrează, într-un mod satisfăcător, autorității de supraveghere că a pus în aplicare măsuri tehnologice adecvate de protecție și că respectivele măsuri au fost aplicate în cazul datelor afectate de încălcarea securității datelor cu caracter personal. Astfel de măsuri tehnologice de protecție trebuie să asigure că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze.

(4) Fără a aduce atingere obligației operatorului de a comunica persoanei vizate încălcarea securității datelor cu caracter personal, în cazul în care operatorul nu a comunicat încă persoanei vizate că securitatea datelor sale cu caracter personal a fost încălcată, autoritatea de supraveghere poate, după analizarea posibilelor efecte negative ale încălcării, să îi solicite să facă acest lucru.

(4) Fără a aduce atingere obligației operatorului de a comunica persoanei vizate încălcarea securității datelor cu caracter personal, în cazul în care operatorul nu a comunicat încă persoanei vizate că securitatea datelor sale cu caracter personal a fost încălcată, autoritatea de supraveghere poate, după analizarea posibilelor efecte negative ale încălcării, să îi solicite să facă acest lucru.

(5) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor privind circumstanțele în care o încălcare a securității datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal menționate la alineatul (1).

(5) Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) privind circumstanțele în care o încălcare a securității datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal, vieții private, drepturilor și intereselor legitime ale persoanei vizate menționate la alineatul (1).

(6) Comisia poate stabili forma în care persoana vizată este informată conform alineatului (1) și procedurile aplicabile respectivei informări. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

 

Amendamentul  127

Propunere de regulament

Articolul 32 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 32a

 

Luarea în considerare a riscurilor

 

(1) Operatorul sau, după caz, persoana împuternicită de către operator efectuează o analiză a riscurilor privind impactul potențial al prelucrării de date planificate asupra drepturilor și libertăților persoanelor vizate, prin care evaluează dacă operațiunile sale de prelucrare pot prezenta riscuri specifice.

 

(2) Următoarele operațiuni de prelucrare pot prezenta astfel de riscuri specifice:

 

(a) prelucrarea de date cu caracter personal referitoare la un număr mai mare de 5 000 de persoane vizate pe parcursul oricărei perioade de 12 luni consecutive;

 

(b) prelucrarea unor categorii speciale de date, astfel cum sunt menționate la articolul 9 alineatul (1), a datelor de localizare, a datelor referitoare la minori sau angajați, din sistemele de evidență a datelor de mari dimensiuni;

 

(c) elaborarea unui profil pentru măsurile care produc efecte juridice sau care afectează în mod semnificativ persoana respectivă;

 

(d) prelucrarea informațiilor cu caracter personal pentru furnizarea de asistență medicală, studii epidemiologice sau studii privind bolile mentale sau infecțioase, atunci când datele sunt prelucrate în scopul luării de măsuri sau decizii care vizează anumite persoane pe scară largă;

 

(e) monitorizarea automată pe scară largă a zonelor accesibile publicului;

 

(f) alte operațiuni de prelucrare a datelor pentru care este necesară consultarea responsabilului cu protecția datelor sau a autorității de supraveghere în conformitate cu articolul 34 alineatul (2) litera (b);

 

(g) atunci când o încălcare poate pune în pericol protecția datelor cu caracter personal, a vieții private, a drepturilor și intereselor legitime ale persoanelor vizate;

 

(h) activitățile principale ale operatorului sau ale persoanei împuternicite de către operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită monitorizarea periodică și sistematică a persoanelor vizate;

 

(i) atunci când datele cu caracter personal sunt accesibile unui număr de persoane care nu poate fi în mod rezonabil estimat că este limitat.

 

(3) Potrivit rezultatelor analizei riscurilor:

 

(a) atunci când există o operațiune de prelucrare menționată la alineatul (2) literele (a) sau (b), operatorii care nu sunt stabiliți în Uniune desemnează un reprezentant în Uniune, în conformitate cu cerințele și derogările prevăzute la articolul 25;

 

(b) atunci când există o operațiune de prelucrare menționată la alineatul (2) literele (a), (b) sau (h), operatorul desemnează un responsabil cu protecția datelor, în conformitate cu cerințele și derogările prevăzute la articolul 35;

 

(c) atunci când există o operațiune de prelucrare menționată la alineatul (2) literele (a), (b), (c), (d), (e), (f), (g) sau (h), operatorul sau persoana împuternicită de către operator care acționează în numele operatorului efectuează o evaluare a impactului asupra protecției datelor, în conformitate cu articolul 33;

 

(d) atunci când există operațiuni de prelucrare menționate la alineatul (2) litera (f), operatorul îl consultă pe responsabilul cu protecția datelor sau, în cazul în care nu a fost numit un responsabil cu protecția datelor, autoritatea de supraveghere, în conformitate cu articolul 34.

 

(4) Analiza riscurilor se revizuiește cel târziu după un an sau imediat, în cazul în care natura, domeniul de aplicare sau scopul operațiunilor de prelucrare a datelor se modifică în mod semnificativ. Atunci când, în conformitate cu alineatul (3) litera (c), operatorul nu este obligat să efectueze o evaluare a impactului asupra protecției datelor, se păstrează documentele referitoare la analiza riscurilor.

Amendamentul  128

Propunere de regulament

Capitolul 4 – secțiunea 3 – titlu

Textul propus de Comisie

Amendamentul

EVALUAREA IMPACTULUI PRIVIND PROTECȚIA DATELOR AUTORIZAȚIA PREALABILĂ

GESTIONAREA PROTECȚIEI DATELOR PE DURATA CICLULUI DE VIAȚĂ

Amendamentul  129

Propunere de regulament

Articolul 33

Textul propus de Comisie

Amendamentul

Evaluarea impactului privind protecția datelor

Evaluarea impactului privind protecția datelor

(1) Atunci când operațiunile de prelucrare prezintă riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare sau scopurile lor, operatorul sau persoana împuternicită de către operator, care acționează în numele operatorului, trebuie să efectueze o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal.

(1) Atunci când este necesar în temeiul articolului 32a alineatul (3) litera (c), operatorul sau persoana împuternicită de către operator, care acționează în numele operatorului, efectuează o evaluare a impactului operațiunilor de prelucrare prevăzute asupra drepturilor și libertăților persoanelor vizate, în special asupra dreptului lor la protecție a datelor cu caracter personal. O evaluare unică este suficientă pentru abordarea unui set de operațiuni de prelucrare similare care prezintă riscuri similare.

(2) Următoarele operațiuni de prelucrare prezintă în special riscurile specifice la care se face referire la alineatul (1):

 

(a) o evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la o persoană fizică sau care vizează analizarea ori întocmirea de previziuni în special în ceea ce privește situația economică a persoanei fizice, locul în care se află, sănătatea, preferințele personale, încrederea de care se bucură sau comportamentul acesteia, care se bazează pe prelucrarea automată și pe care se bazează măsurile care produc efecte juridice sau care afectează în mod semnificativ persoana respectivă;

 

(b) prelucrarea informațiilor privind viața sexuală, sănătatea, rasa și originea etnică sau informații necesare pentru furnizarea de asistență medicală, studii epidemiologice sau studii privind boli mentale sau infecțioase prelucrarea datelor pentru adoptarea de măsuri sau decizii care vizează anumite persoane pe scară largă;

 

(c) monitorizarea zonelor accesibile publicului, mai ales în cazul utilizării pe scară largă a dispozitivelor optoelectronice (supravegherea video);

 

(d) procesarea datelor cu caracter personal în sistemele de evidență a datelor de mari dimensiuni privind minorii sau procesarea datelor biometrice sau genetice;

 

(e) alte operațiuni de prelucrare de date pentru care este necesară consultarea autorității de supraveghere în conformitate cu articolul 34 alineatul (2) litera (b).

 

(3) Evaluarea trebuie să cuprindă cel puțin o descriere generală a operațiunilor de prelucrare avute în vedere, o evaluare a riscurilor privind drepturile și libertățile persoanelor vizate, măsurile preconizate în vederea evitării riscurilor, garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate.

(2) Evaluarea are în vedere gestionarea întregului ciclu de viață al datelor cu caracter personal, de la culegere la prelucrare și eliminare. Ea cuprinde cel puțin:

 

(a) o descriere sistematică a operațiunilor de prelucrare avute în vedere, scopurile prelucrării și, după caz, interesele legitime urmărite de operator;

 

(b) o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;

 

(c) o evaluare a riscurilor la adresa drepturilor și libertăților persoanelor vizate, inclusiv riscul de discriminare care poate fi implicat sau sporit de operație;

 

(d) o descriere a măsurilor avute în vedere pentru evitarea riscurilor și reducerea la minimum a cantității de date cu caracter personal care sunt prelucrate;

 

(e) o listă a garanțiilor, măsurilor de securitate și mecanismelor menite să asigure protecția datelor cu caracter personal, cum ar fi pseudonimizarea, și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate;

 

(f) o indicație generală a termenelor-limită pentru ștergerea diferitelor categorii de date;

 

(h) o explicație referitoare la practicile de protecție a datelor de la momentul conceperii și de protecție implicită a datelor în temeiul articolului 23 care au fost puse în aplicare;

 

(i) o listă a destinatarilor sau categoriile de destinatari ai datelor cu caracter personal;

 

(j) dacă este cazul, o listă a transferurilor de date avute în vedere către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor prevăzute la articolul 44 alineatul (1) litera (h), documentația care dovedește existența unor garanții corespunzătoare;

 

(k) o evaluare a contextului prelucrării datelor.

 

(2a) în cazul în care operatorul sau persoana împuternicită de acesta a desemnat un responsabil cu protecția datelor, acesta ar trebui să participe la procedurile de evaluare a impactului.

 

(2b) Se păstrează documente referitoare la evaluare și se stabilește un calendar pentru analize periodice ale conformității privind protecția datelor în temeiul articolului 33a alineatul (1). Evaluarea este actualizată fără întârziere în cazul în care rezultatele analizei conformității privind protecția datelor menționate la articolul 33a indică probleme în ceea ce privește conformitatea. Operatorul și persoana împuternicită de acesta și, dacă este cazul, reprezentantul operatorului, pun evaluarea la dispoziția autorității de supraveghere, la cererea acesteia.

(4) Operatorul solicită avizul persoanelor vizate sau al reprezentanților acestora privind prelucrarea prevăzută, fără a aduce atingere protecției intereselor comerciale sau publice ori securității operațiunilor de prelucrare.

 

(5) Atunci când operatorul este o autoritate sau un organism public și prelucrarea rezultă dintr-o obligație juridică în temeiul articolului 6 alineatul (1) litera (c), care prevede normele și procedurile referitoare la operațiunile de prelucrare și reglementate de legislația Uniunii, alineatele (1) - (4) nu se aplică, cu excepția cazului în care statele membre consideră că este necesară efectuarea unei astfel de evaluări înaintea desfășurării activităților de prelucrare.

 

(6) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor privind operațiunile de prelucrare care pot prezenta riscurile specifice menționate la alineatele (1) și (2), precum și cerințelor pentru evaluare la care se face referire la alineatul (3), inclusiv condițiile de scalabilitate, de verificare și posibilitatea auditării. În acest sens, Comisia ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii.

 

(7) Comisia poate să prevadă standarde și proceduri de realizare, verificare și auditare a evaluării menționate la alineatul (3). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

 

[Alineatului (3) din textul Comisiei a devenit parțial literele (a), (c), (g) și (e) în amendamentul Parlamentului.]

Amendamentul  130

Propunere de regulament

Articolul 33 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 33a

 

Analiza conformității privind protecția datelor

 

(1) În termen de cel mult doi ani de la realizarea unei evaluări a impactului în temeiul articolului 33 alineatul (1), operatorul sau persoana împuternicită de acesta, care acționează în numele operatorului, realizează o analiză a conformității. Această analiză a conformității demonstrează faptul că prelucrarea datelor cu caracter personal are loc în conformitate cu evaluarea impactului privind protecția datelor.

 

(2) Analiza conformității se realizează periodic, cel puțin din doi în doi ani, sau imediat în cazul în care are loc o modificare a riscurilor specifice pe care le implică operațiunile de prelucrare.

 

(3) În cazul în care rezultatele analizei conformității indică probleme privind conformitatea, analiza conformității conține recomandări cu privire la modalitățile prin care se poate atinge conformitatea deplină.

 

(4) Se păstrează documentele referitoare la analiza conformității și recomandările pe care le conține. Operatorul și persoana împuternicită de acesta și, dacă este cazul, reprezentantul operatorului, pun analiza conformității la dispoziția autorității de supraveghere, la cererea acesteia.

 

(5) În cazul în care operatorul sau persoana împuternicită de acesta a desemnat un responsabil cu protecția datelor, acesta participă la procedurile de revizuire a conformității.

Amendamentul  131

Propunere de regulament

Articolul 34

Textul propus de Comisie

Amendamentul

Autorizarea prealabilă și consultarea prealabilă

Consultarea prealabilă

(1) Operatorul sau persoana împuternicită de către operator, după caz, obține o autorizație din partea autorității de supraveghere înainte de prelucrarea datelor cu caracter personal, pentru a asigura conformitatea prelucrării prevăzute cu prezentul regulament și în special pentru a atenua riscurile la care sunt expuse persoanele vizate, în cazul în care un operator sau o persoană împuternicită de către operator adoptă clauzele contractuale prevăzute la articolul 42 alineatul (2) litera (d) sau nu oferă garanții corespunzătoare printr-un instrument obligatoriu din punct de vedere juridic, astfel cum se menționează la articolul 42 alineatul (5) în ceea ce privește transferul de date cu caracter personal către o țară terță sau o organizație internațională.

 

(2) Operatorul sau persoana împuternicită de către operator, care acționează în numele operatorului, consultă autoritatea de supraveghere înainte de prelucrarea datelor cu caracter personal în scopul de a garanta conformitatea prelucrării prevăzute cu prezentul regulament și, în special, pentru a atenua riscurile la care sunt expuse persoanele vizate, atunci când:

(1) Operatorul sau persoana împuternicită de către operator, care acționează în numele operatorului, consultă responsabilul cu protecția datelor sau, în cazul în care acesta nu a fost numit, autoritatea de supraveghere înainte de prelucrarea datelor cu caracter personal în scopul de a garanta conformitatea prelucrării prevăzute cu prezentul regulament și, în special, pentru a atenua riscurile la care sunt expuse persoanele vizate, atunci când:

(a) o evaluare a impactului privind protecția datelor, astfel cum se prevede la articolul 33, indică faptul că operațiunile de prelucrare pot prezenta, prin însăși natura, domeniul de aplicare sau scopurile lor, un grad înalt de riscuri specifice; sau

(a) o evaluare a impactului privind protecția datelor, astfel cum se prevede la articolul 33, indică faptul că operațiunile de prelucrare pot prezenta, prin însăși natura, domeniul de aplicare sau scopurile lor, un grad înalt de riscuri specifice; sau

(b) autoritatea de supraveghere consideră că este necesar să se efectueze o consultare prealabilă cu privire la operațiunile de prelucrare care pot prezenta riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare și/sau scopurile lor, în conformitate cu alineatul (4).

(b) responsabilul cu protecția datelor sau autoritatea de supraveghere consideră că este necesar să se efectueze o consultare prealabilă cu privire la operațiunile de prelucrare care pot prezenta riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare și/sau scopurile lor, în conformitate cu alineatul (4).

(3) Atunci când consideră că prelucrarea prevăzută nu este conformă cu prezentul regulament, în special în cazul în care riscurile nu sunt suficient identificate sau atenuate, autoritatea de supraveghere interzice prelucrarea prevăzută și prezintă propuneri adecvate pentru remedierea acestor aspecte neconforme.

(2) Atunci când, în conformitate cu atribuțiile sale, constată că prelucrarea prevăzută nu este conformă cu prezentul regulament, în special în cazul în care riscurile nu sunt suficient identificate sau atenuate, autoritatea de supraveghere competentă interzice prelucrarea prevăzută și prezintă propuneri adecvate pentru remedierea acestor aspecte neconforme.

(4) Autoritatea de supraveghere întocmește și publică o listă de operațiuni de prelucrare care sunt supuse consultării prealabile în conformitate cu alineatul (2) litera (b). Autoritatea de supraveghere comunică aceste liste Comitetului european pentru protecția datelor.

(3) Comitetul european pentru protecția datelor întocmește și publică o listă de operațiuni de prelucrare care sunt supuse consultării prealabile în conformitate cu alineatul (2).

(5) În cazul în care lista prevăzută la alineatul (4) cuprinde activități de prelucrare care presupun furnizarea de bunuri și prestarea de servicii către persoane vizate din mai multe state membre sau la monitorizarea comportamentului lor ori pot afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57 înainte de adoptarea listei.

 

(6) Operatorul sau persoana împuternicită de către operator furnizează autorității de supraveghere evaluarea impactului privind protecția datelor prevăzută la articolul 33 și, la cerere, orice altă informație care permite autorității de supraveghere să facă o evaluare a conformității prelucrării și în special a riscurilor în privința protecției datelor cu caracter personal ale persoanei vizate și a garanțiilor aferente.

(6) Operatorul sau persoana împuternicită de către operator furnizează autorității de supraveghere, la cerere, evaluarea impactului privind protecția datelor în conformitate cu articolul 33 și orice altă informație care permite autorității de supraveghere să facă o evaluare a conformității prelucrării și, în special, a riscurilor în privința protecției datelor cu caracter personal ale persoanei vizate și a garanțiilor aferente.

(7) Statele membre consultă autoritatea de supraveghere în cadrul procesului de pregătire a unei măsuri legislative care urmează să fie adoptate de parlamentul național sau a unei măsuri bazate pe o astfel de măsură legislativă, care să definească natura prelucrării, pentru a asigura conformitatea prelucrării prevăzute cu prezentul regulament și în special pentru a atenua riscurile la care sunt expuse persoanele vizate.

(7) Statele membre consultă autoritatea de supraveghere în cadrul procesului de pregătire a unei măsuri legislative care urmează să fie adoptate de parlamentul național sau a unei măsuri bazate pe o astfel de măsură legislativă, care să definească natura prelucrării, pentru a asigura conformitatea prelucrării prevăzute cu prezentul regulament și în special pentru a atenua riscurile la care sunt expuse persoanele vizate.

(8) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor privind stabilirea gradului înalt de risc specific prevăzut la alineatul 2 litera (a).

 

(9) Comisia poate elabora formulare și proceduri standard pentru autorizațiile și consultările prealabile menționate la alineatele (1) și (2), precum și formulare și proceduri standard de informare a autorităților de supraveghere, în conformitate cu alineatul (6). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

 

Amendamentul                     132

Propunere de regulament

Articolul 35

Textul propus de Comisie

Amendamentul

Desemnarea responsabilului cu protecția datelor

Desemnarea responsabilului cu protecția datelor

(1) Operatorul și persoana împuternicită de către operator desemnează un responsabil cu protecția datelor atunci când:

(1) Operatorul și persoana împuternicită de către operator desemnează un responsabil cu protecția datelor atunci când:

(a) prelucrarea este efectuată de o autoritate sau de un organism public sau

(a) prelucrarea este efectuată de o autoritate sau de un organism public sau

(b) prelucrarea este efectuată de o întreprindere cu 250 de angajați sau mai mult sau

(b) prelucrarea este efectuată de o persoană juridică și implică peste 5000 de persoane vizate pe parcursul oricărei perioade de 12 luni consecutive; or

(c) activitățile principale ale operatorului sau ale persoanei împuternicite de către operator constau în operațiuni de prelucrare care, prin natura lor, domeniul de aplicare și/sau scopul lor, necesită monitorizarea periodică și sistematică a persoanelor vizate.

(c) activitățile principale ale operatorului sau ale persoanei împuternicite de către operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită monitorizarea periodică și sistematică a persoanelor vizate sau

 

(d) activitățile de bază ale operatorului sau ale persoanei împuternicite de către operator constau în prelucrarea categoriilor speciale de date în conformitate cu articolul 9 alineatul (1), a datelor de localizare, a datelor referitoare la minori sau angajați, din sistemele de evidență a datelor de mari dimensiuni.

(2) În cazul menționat la alineatul (1) litera (b), un grup de întreprinderi poate numi un responsabil unic cu protecția datelor.

(2) Un grup de întreprinderi poate numi un responsabil principal cu protecția datelor, cu condiția să se garantează că un responsabil cu protecția datelor este ușor accesibil din fiecare întreprindere.

(3) În cazul în care operatorul sau persoana împuternicită de către operator este o autoritate sau un organism public, responsabilul cu protecția datelor poate fi desemnat pentru mai multe dintre entitățile sale, luând în considerare structura organizatorică a autorității sau a organismului public.

(3) În cazul în care operatorul sau persoana împuternicită de către operator este o autoritate sau un organism public, responsabilul cu protecția datelor poate fi desemnat pentru mai multe dintre entitățile sale, luând în considerare structura organizatorică a autorității sau a organismului public.

(4) În alte cazuri decât cele menționate la alineatul (1), operatorul, persoana împuternicită de către operator, asociațiile și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de către operatori pot desemna un responsabil cu protecția datelor.

(4) În alte cazuri decât cele menționate la alineatul (1), operatorul, persoana împuternicită de către operator, asociațiile și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de către operatori pot desemna un responsabil cu protecția datelor.

(5) Operatorul sau persoana împuternicită de către operator desemnează responsabilul cu protecția datelor în baza calităților profesionale și, în special, a cunoștințelor de specialitate în materie de legislație și practici privind protecția datelor și a capacității de a îndeplini sarcinile menționate la articolul 37. Nivelul necesar al cunoștințelor de specialitate se stabilește în special în special în funcție de prelucrarea efectuată asupra datelor și de gradul de protecție impus pentru datele cu caracter personal prelucrate de către operator sau de persoana împuternicită de către operator.

(5) Operatorul sau persoana împuternicită de către operator desemnează responsabilul cu protecția datelor în baza calităților profesionale și, în special, a cunoștințelor de specialitate în materie de legislație și practici privind protecția datelor și a capacității de a îndeplini sarcinile menționate la articolul 37. Nivelul necesar al cunoștințelor de specialitate se stabilește în special în special în funcție de prelucrarea efectuată asupra datelor și de gradul de protecție impus pentru datele cu caracter personal prelucrate de către operator sau de persoana împuternicită de către operator.

(6) Operatorul sau persoana împuternicită de către operator se asigură că orice alte îndatoriri profesionale ale responsabilului cu protecția datelor sunt compatibile cu sarcinile și atribuțiile persoanei care are calitatea de responsabil cu protecția datelor și că nu generează un conflict de interese.

(6) Operatorul sau persoana împuternicită de către operator se asigură că orice alte îndatoriri profesionale ale responsabilului cu protecția datelor sunt compatibile cu sarcinile și atribuțiile persoanei care are calitatea de responsabil cu protecția datelor și că nu generează un conflict de interese.

(7) Operatorul sau persoana împuternicită de către operator desemnează un responsabil cu protecția datelor pentru o perioadă de cel puțin doi ani. Mandatul responsabilului cu protecția datelor poate fi reînnoit. Pe durata mandatului, responsabilul cu protecția datelor poate fi demis doar dacă responsabilul cu protecția datelor nu mai îndeplinește condițiile cerute pentru exercitarea atribuțiilor sale.

(7) Operatorul sau persoana împuternicită de către operator desemnează un responsabil cu protecția datelor pentru o perioadă de cel puțin patru ani în cazul unui angajat sau doi ani în cazul unui contractant extern de servicii. Mandatul responsabilului cu protecția datelor poate fi reînnoit. Pe durata mandatului, responsabilul cu protecția datelor poate fi demis doar dacă nu mai îndeplinește condițiile cerute pentru exercitarea atribuțiilor sale.

(8) Responsabilul cu protecția datelor poate fi un angajat al operatorului sau al persoanei împuternicite de către operator ori poate să își îndeplinească atribuțiile în baza unui contract de servicii.

(8) Responsabilul cu protecția datelor poate fi un angajat al operatorului sau al persoanei împuternicite de către operator ori poate să își îndeplinească atribuțiile în baza unui contract de servicii.

(9) Operatorul sau persoana împuternicită de către operator comunică autorității de supraveghere și publicului numele și datele de contact ale responsabilului cu protecția datelor.

(9) Operatorul sau persoana împuternicită de către operator comunică autorității de supraveghere și publicului numele și datele de contact ale responsabilului cu protecția datelor.

(10) Persoanele vizate au dreptul de a contacta responsabilul cu protecția datelor cu privire la toate problemele legate de prelucrarea datelor persoanelor vizate și de a solicita exercitarea drepturilor în temeiul prezentului regulament.

(10) Persoanele vizate au dreptul de a contacta responsabilul cu protecția datelor cu privire la toate problemele legate de prelucrarea datelor persoanelor vizate și de a solicita exercitarea drepturilor în temeiul prezentului regulament.

(11) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 cu scopul de a specifica în detaliu criteriile și cerințele pentru activitățile principale ale operatorului sau ale persoanei împuternicite de către operator prevăzute la alineatul (1) litera (c), precum și criteriile privind calitățile profesionale ale responsabilului cu protecția datelor prevăzute la alineatul (5).

 

Amendamentul  133

Propunere de regulament

Articolul 36

Textul propus de Comisie

Amendamentul

Funcția responsabilului cu protecția datelor

Funcția responsabilului cu protecția datelor

(1) Operatorul sau persoana împuternicită de către operator se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.

(1) Operatorul sau persoana împuternicită de către operator se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.

(2) Operatorul sau persoană împuternicită de către operator se asigură că responsabilul cu protecția datelor își exercită îndatoririle și atribuțiile în mod independent și că nu primește instrucțiuni în privința exercitării funcției. Responsabilul cu protecția datelor răspunde direct în fața conducerii operatorului sau a persoanei împuternicite de către operator.

(2) Operatorul sau persoană împuternicită de către operator se asigură că responsabilul cu protecția datelor își exercită îndatoririle și atribuțiile în mod independent și că nu primește instrucțiuni în privința exercitării funcției. Responsabilul cu protecția datelor răspunde direct în fața conducerii executive a operatorului sau a persoanei împuternicite de către operator. Operatorul sau persoană împuternicită de către operator desemnează în acest scop un membru al conducerii executive care este responsabil de conformitatea cu dispozițiile prezentului regulament.

(3) Operatorul sau persoana împuternicită de către operator sprijină pe responsabilul cu protecția datelor în îndeplinirea sarcinilor sale și pune la dispoziție personalul, incinta, echipamentele și orice alte resurse necesare pentru îndeplinirea funcțiilor și atribuțiilor prevăzute la articolul 37.

(3) Operatorul sau persoana împuternicită de către operator sprijină pe responsabilul cu protecția datelor în îndeplinirea sarcinilor sale și pune la dispoziție toate resursele, inclusiv personalul, incinta, echipamentele și orice alte resurse necesare pentru îndeplinirea funcțiilor și atribuțiilor prevăzute la articolul 37 și pentru menținerea competențelor sale profesionale.

 

(4) Responsabilii cu protecția datelor au obligația de a respecta secretul privind identitatea persoanelor vizate și circumstanțele ce permit identificarea acestora, cu excepția cazului în care persoanele vizate îi eliberează de această obligație.

Amendamentul  134

Propunere de regulament

Articolul 37

Textul propus de Comisie

Amendamentul

Sarcinile responsabilului cu protecția datelor

Sarcinile responsabilului cu protecția datelor

(1) Operatorul sau persoana împuternicită de către operator încredințează responsabilului cu protecția datelor cel puțin următoarele sarcini:

Operatorul sau persoana împuternicită de către operator încredințează responsabilului cu protecția datelor cel puțin următoarele sarcini:

(a) informarea și consilierea operatorului sau a persoanei împuternicite de către operator cu privire la obligațiile care îi revin în temeiul prezentului regulament, păstrarea unei evidențe a acestei activități și a răspunsurilor primite;

(a) sensibilizarea, informarea și consilierea operatorului sau a persoanei împuternicite de către operator cu privire la obligațiile care îi revin în temeiul prezentului regulament, mai ales în ceea ce privește măsurile și procedurile tehnice și organizatorice, păstrarea unei evidențe a acestei activități și a răspunsurilor primite;

(b) monitorizarea aplicării politicilor operatorului sau ale persoanei împuternicite de către operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților, formarea personalului implicat în operațiunile de prelucrare și auditurile aferente;

(b) monitorizarea aplicării politicilor operatorului sau ale persoanei împuternicite de către operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților, formarea personalului implicat în operațiunile de prelucrare și auditurile aferente;

(c) monitorizarea aplicării prezentului regulament, în special în ceea ce privește cerințele legate de protecția datelor de la momentul conceperii, de protecția implicită a datelor, de securitatea datelor, de informațiile persoanelor vizate și de cererile acestora în exercitarea drepturilor lor în temeiul prezentului regulament;

(c) monitorizarea aplicării prezentului regulament, în special în ceea ce privește cerințele legate de protecția datelor de la momentul conceperii, de protecția implicită a datelor, de securitatea datelor, de informațiile persoanelor vizate și de cererile acestora în exercitarea drepturilor lor în temeiul prezentului regulament;

(d) asigurarea menținerii unei documentații actualizate, prevăzute la articolul 28;

(d) asigurarea menținerii unei documentații actualizate, prevăzute la articolul 28;

(e) monitorizarea documentației, a notificării și a comunicării cazurilor de încălcare a prevederilor legate de datele cu caracter personal, în temeiul articolelor 31 și 32;

(e) monitorizarea documentației, a notificării și a comunicării cazurilor de încălcare a prevederilor legate de datele cu caracter personal, în temeiul articolelor 31 și 32;

(f) monitorizarea efectuării de către operator sau de persoana împuternicită de către operator a evaluării impactului și a introducerii cererilor de autorizare sau consultare prealabilă, dacă este cazul, în conformitate cu articolele 33 și 34;

(f) monitorizarea efectuării de către operator sau de persoana împuternicită de către operator a evaluării impactului și a introducerii cererilor de consultare prealabilă, dacă este cazul, în conformitate cu articolele 32a, 33 și 34;

(g) monitorizarea răspunsului la cererile adresate de autoritatea de supraveghere, și, în limitele competenței responsabilului cu protecția datelor, cooperarea cu autoritatea de supraveghere, la cererea acesteia sau din propria inițiativă a responsabilului cu protecția datelor;

(g) monitorizarea răspunsului la cererile adresate de autoritatea de supraveghere, și, în limitele competenței responsabilului cu protecția datelor, cooperarea cu autoritatea de supraveghere, la cererea acesteia sau din propria inițiativă a responsabilului cu protecția datelor;

(h) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare și, dacă este cazul, consultarea autorității de supraveghere, din proprie inițiativă.

(h) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare și, dacă este cazul, consultarea autorității de supraveghere, din proprie inițiativă.

 

(i) verificarea respectării conformității cu prezentul regulament în cadrul mecanismului de consultare prealabilă prevăzut la articolul 34;

 

(j) informarea reprezentanților lucrătorilor cu privire la prelucrarea datelor acestora din urmă.

(2) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor privind sarcinile, certificarea, statutul, competențele și resursele responsabilului cu protecția datelor la care se face referire la alineatul (1).

 

Amendamentul  135

Propunere de regulament

Articolul 38

Textul propus de Comisie

Amendamentul

Coduri de conduită

Coduri de conduită

(1) Statele membre, autoritățile de supraveghere și Comisia încurajează elaborarea de coduri de conduită menite să contribuie la buna aplicare a prezentului regulament, ținând seama de caracteristicile specifice ale diverselor sectoare de prelucrare a datelor, în special cu privire la:

(1) Statele membre, autoritățile de supraveghere și Comisia încurajează elaborarea de coduri de conduită sau adoptarea unor coduri de conduită elaborate de o autoritate de supraveghere, menite să contribuie la buna aplicare a prezentului regulament, ținând seama de caracteristicile specifice ale diverselor sectoare de prelucrare a datelor, în special cu privire la:

(a) prelucrarea datelor în mod echitabil și transparent;

(a) prelucrarea datelor în mod echitabil și transparent;

 

(aa) respectarea drepturilor consumatorilor;

(b) colectarea datelor;

(b) colectarea datelor;

(c) informarea publicului și a persoanelor vizate;

(c) informarea publicului și a persoanelor vizate;

(d) cererile persoanelor vizate în exercitarea drepturilor acestora;

(d) cererile persoanelor vizate în exercitarea drepturilor acestora;

(e) informarea și protejarea copiilor;

(e) informarea și protejarea copiilor;

(f) transferul datelor către țări terțe sau organizații internaționale;

(f) transferul datelor către țări terțe sau organizații internaționale;

(g) mecanisme de monitorizare și de asigurare a conformității cu codul de către operatorii care aderă la cod;

(g) mecanisme de monitorizare și de asigurare a conformității cu codul de către operatorii care aderă la cod;

(h) proceduri extrajudiciare și alte proceduri de soluționare a litigiilor pentru soluționarea diferendelor între operatori și persoanele vizate în ceea ce privește prelucrarea datelor cu caracter personal, fără a aduce atingere drepturilor persoanelor vizate, conform articolelor 73 și 75.

(h) proceduri extrajudiciare și alte proceduri de soluționare a litigiilor pentru soluționarea diferendelor între operatori și persoanele vizate în ceea ce privește prelucrarea datelor cu caracter personal, fără a aduce atingere drepturilor persoanelor vizate, conform articolelor 73 și 75.

(2) Asociațiile și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de către operatori într-un stat membru care intenționează să elaboreze coduri de conduită sau să modifice și să extindă codurile de conduită existente le pot prezenta în vederea emiterii unui aviz din partea autorității de supraveghere din statul membru respectiv. Autoritatea de supraveghere poate emite un aviz cu privire la conformitatea cu prezentul regulament a proiectului de cod de conduită sau a modificărilor aduse acestuia. Autoritatea de supraveghere solicită opiniile persoanelor vizate sau ale reprezentanților lor cu privire la aceste proiecte.

(2) Asociațiile și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de către operatori într-un stat membru care intenționează să elaboreze coduri de conduită sau să modifice și să extindă codurile de conduită existente le pot prezenta în vederea emiterii unui aviz din partea autorității de supraveghere din statul membru respectiv. Autoritatea de supraveghere emite un aviz fără întârzieri nejustificate dacă prelucrarea în conformitate cu proiectul de cod de conduită sau cu modificările aduse acestuia este conformă prezentului Regulament. Autoritatea de supraveghere solicită opiniile persoanelor vizate sau ale reprezentanților lor cu privire la aceste proiecte.

(3) Asociațiile și alte organisme care reprezintă categorii de operatori în mai multe state membre pot prezenta Comisiei proiecte de coduri de conduită, precum și modificări sau extinderi ale codurilor de conduită existente.

(3) Asociațiile și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de către operatori în mai multe state membre pot prezenta Comisiei proiecte de coduri de conduită, precum și modificări sau extinderi ale codurilor de conduită existente.

(4) Comisia poate adopta acte de punere în aplicare pentru a decide asupra valabilității generale în Uniune a codurilor de conduită și a modificărilor sau extinderilor la codurile de conduită existente care i-au fost prezentate în conformitate cu alineatul (3). Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2).

(4) După solicitarea unui aviz al Comitetului european pentru protecția datelor, Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 pentru a decide asupra conformității cu prezentul regulament și a valabilității generale în Uniune a codurilor de conduită și a modificărilor sau extinderilor la codurile de conduită existente care i-au fost prezentate în conformitate cu alineatul (3). Aceste acte delegate conferă drepturi de punere în aplicare opozabile persoanelor vizate.

(5) Comisia asigură publicitatea adecvată pentru codurile asupra cărora s-a decis că au valabilitate generală în conformitate cu alineatul (4).

(5) Comisia asigură publicitatea adecvată pentru codurile asupra cărora s-a decis că au valabilitate generală în conformitate cu alineatul (4).

Amendamentul  136

Propunere de regulament

Articolul 39

Textul propus de Comisie

Amendamentul

Certificare

Certificare

(1) Statele membre și Comisia încurajează, în special la nivel european, instituirea de mecanisme de certificare în domeniul protecției datelor și de sigilii și mărci în domeniul protecției datelor, care să permită persoanelor vizate să evalueze rapid nivelul de protecție a datelor pe care îl asigură operatorii și persoanele împuternicite de către operatori. Mecanismele de certificare din domeniul protecției datelor contribuie la buna aplicare a prezentului regulament, luând în considerare caracteristicile specifice ale diverselor sectoare și ale diferitelor operațiuni de prelucrare.

 

 

(1a) Orice operator sau persoană împuternicită de către operator poate solicita oricărei autorități de supraveghere din Uniune, în schimbul unei taxe rezonabile care ține cont de costurile administrative, să certifice faptul că prelucrarea datelor cu personal este realizată în conformitate cu prezentul regulament, în special cu principiile stabilite la articolele 5, 23 și 30, obligațiile operatorului și ale persoanei împuternicite, precum și drepturile persoanei vizate.

 

(1b) Certificarea este voluntară, accesibilă și disponibilă prin intermediul unui proces transparent, care nu generează sarcini excesive.

 

(1c) Autoritățile de supraveghere și Comitetul european pentru protecția datelor cooperează în cadrul mecanismului pentru asigurarea coerenței în conformitate cu articolul 57 pentru a garanta un mecanism de certificare pentru protecția armonizată a datelor, inclusiv taxe armonizate în cadrul Uniunii.

 

(1d) Pe parcursul procedurii de certificare, autoritatea de supraveghere poate solicita unor auditori externi specializați să efectueze auditarea operatorului sau a persoanei împuternicite de către operator, în numele său. Auditorii externi au personal calificat suficient, sunt imparțiali și nu prezintă conflicte de interese în ceea ce privește îndatoririle lor. Autoritățile de supraveghere revocă acreditarea dacă există motive să creadă că auditorul nu își îndeplinește corect îndatoririle. Certificarea finală este acordată de autoritatea de supraveghere.

 

(1e) Autoritățile de supraveghere acordă operatorilor și persoanelor împuternicite de operatori, care conform auditurilor sunt certificați pentru prelucrarea datelor cu caracter personal în conformitate cu prezentul Regulament, marca standardizată privind protecția datelor „sigiliul european privind protecția datelor”.

 

(1f) „Sigiliul european privind protecția datelor” este valabil atât timp cât operațiunile de protecție a datelor asigurate de operatorul sau de persoana împuternicită de către operator care a obținut certificarea respectă întocmai prezentul regulament.

 

(1g) Fără a aduce atingere dispozițiilor de la alineatul (1f), „sigiliul european privind protecția datelor” este valabil maximum cinci ani.

 

(1h) Comitetul european pentru protecția datelor creează un registru electronic public în care publicul poate vizualiza toate certificatele valabile și nule emise în statul membru în cauză.

 

(1i) Comitetul european pentru protecția datelor poate certifica din proprie inițiativă că un standard tehnic de consolidare a protecție datelor este conform prezentului regulament.

(2) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii criteriilor și cerințelor aplicabile mecanismelor de certificare din domeniul protecției datelor, menționate la alineatul (1), inclusiv a condițiilor de acordare și retragere, precum și a cerințelor în materie de recunoaștere în Uniune și în țările terțe.

(2) După solicitarea unui aviz din partea Comitetul european pentru protecția datelor și consultarea părților interesate, în special a organizațiilor din sector și a organizațiilor neguvernamentale, Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii criteriilor și cerințelor aplicabile mecanismelor de certificare din domeniul protecției datelor, menționate la alineatele (1a) – (1h), inclusiv a cerințelor pentru acreditarea auditorilor, a condițiilor de acordare și retragere, precum și a cerințelor în materie de recunoaștere în Uniune și în țările terțe. Aceste acte delegate conferă drepturi de punere în aplicare opozabile persoanelor vizate.

(3) Comisia poate stabili standarde tehnice pentru mecanismele de certificare și pentru sigiliile și mărcile din domeniul protecției datelor, precum și mecanisme de promovare și recunoaștere a mecanismelor de certificare și a sigiliilor și mărcilor din domeniul protecției datelor. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2).

 

Amendamentul  137

Propunere de regulament

Articolul 41

Textul propus de Comisie

Amendamentul

Transferuri în baza unei decizii privind caracterul adecvat al nivelului de protecție

Transferuri în baza unei decizii privind caracterul adecvat al nivelului de protecție

(1) Transferul se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori un sector de prelucrare din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită alte autorizări suplimentare.

(1) Transferul se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori un sector de prelucrare din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită autorizări speciale.

(2) Atunci când evaluează caracterul adecvat al nivelului de protecție, Comisia ia în considerare următoarele elemente:

(2) Atunci când evaluează caracterul adecvat al nivelului de protecție, Comisia ia în considerare următoarele elemente:

(a) statul de drept, legislația relevantă în vigoare, atât cea generală, cât și cea specifică, inclusiv cea referitoare la securitatea publică, apărare, securitatea națională și dreptul penal, normele profesionale și măsurile de securitate care sunt respectate în țara respectivă sau de respectiva organizație internațională, precum și drepturile efective și opozabile, inclusiv căile de atac administrative și judiciare efective ale persoanelor vizate, în special în cazul persoanelor vizate care au reședința în Uniune și ale căror date cu caracter personal sunt transferate;

(a) statul de drept, legislația relevantă în vigoare, atât cea generală, cât și cea specifică, inclusiv cea referitoare la securitatea publică, apărare, securitatea națională și dreptul penal, precum și punerea în aplicare a dispozițiilor acesteia, normele profesionale și măsurile de securitate care sunt respectate în țara respectivă sau de respectiva organizație internațională, precedentele din jurisprudență, precum și drepturile efective și opozabile, inclusiv căile de atac administrative și judiciare efective ale persoanelor vizate, în special în cazul persoanelor vizate care au reședința în Uniune și ale căror date cu caracter personal sunt transferate;

(b) existența și funcționarea efectivă a uneia sau a mai multor autorități de supraveghere independente în țara terță sau în cadrul organizației internaționale în cauză, care au responsabilitatea de a asigura respectarea normelor de protecție a datelor, de a asista și de a consilia persoanele vizate în ceea ce privește exercitarea drepturilor acestora și de a coopera cu autoritățile de supraveghere din statele membre și din Uniune; precum și

(b) existența și funcționarea efectivă a uneia sau a mai multor autorități de supraveghere independente în țara terță sau în cadrul organizației internaționale în cauză, care au responsabilitatea de a asigura respectarea normelor de protecție a datelor, inclusiv atribuții suficiente de sancționare, de a asista și de a consilia persoanele vizate în ceea ce privește exercitarea drepturilor acestora și de a coopera cu autoritățile de supraveghere din statele membre și din Uniune; precum și

(c) angajamentele internaționale la care a aderat țara terță sau organizația internațională în cauză.

(c) angajamentele internaționale la care a aderat țara terță sau organizația internațională în cauză, în special orice convenții sau instrumente obligatorii din punct de vedere juridic referitoare la protecția datelor cu caracter personal.

 

(3) Comisia poate decide că o țară terță, un teritoriu sau un sector de prelucrare din acea țară terță sau o organizație internațională asigură un nivel de protecție adecvat în sensul alineatului (2). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

(3) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 pentru a decide că o țară terță sau un teritoriu din acea țară terță sau o organizație internațională asigură un nivel de protecție adecvat în sensul alineatului (2). Aceste acte delegate prevăd o clauză de caducitate dacă se referă la un sector de prelucrare și sunt revocate în conformitate cu alineatul (5) de îndată ce nu mai este asigurat un nivel adecvat de protecție în conformitate cu prezentul regulament.

(4) Actul de punere în aplicare menționează aplicarea geografică și sectorială, și, după caz, identifică autoritatea de supraveghere menționată la alineatul (2) litera (b).

(4) Actul delegat menționează aplicarea teritorială și sectorială, și, după caz, identifică autoritatea de supraveghere menționată la alineatul (2) litera (b).

 

(4a) Comisia monitorizează în permanență evoluțiile din țările terțe și organizațiile internaționale ce ar putea afecta îndeplinirea elementelor enumerate la alineatul (2) în cazul în care un act delegat a fost adoptat în temeiul alineatului (3).

(5) Comisia poate decide că o țară terță, un teritoriu sau un sector de prelucrare din acea țară terță, sau o organizație internațională nu asigură un nivel de protecție adecvat în sensul alineatului (2) al prezentului articol, în special în cazurile în care legislația relevantă, atât cea generală, cât și cea specifică, în vigoare în țara terță sau în organizația internațională, nu garantează drepturi efective și opozabile, inclusiv căi de atac administrative și judiciare efective pentru persoanele vizate, în special pentru acele persoanele vizate care își au reședința în Uniune și ale căror date cu caracter personal sunt transferate. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2), sau, în cazuri de extremă urgență pentru persoanele fizice în ceea ce privește dreptul la protecția datelor cu caracter personal, în conformitate cu procedura menționată la articolul 87 alineatul (3).

(5) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 pentru a decide că o țară terță, un teritoriu sau un sector de prelucrare din acea țară terță, sau o organizație internațională nu asigură sau nu mai asigură un nivel de protecție adecvat în sensul alineatului (2) al prezentului articol, în special în cazurile în care legislația relevantă, atât cea generală, cât și cea specifică, în vigoare în țara terță sau în organizația internațională, nu garantează drepturi efective și opozabile, inclusiv căi de atac administrative și judiciare efective pentru persoanele vizate, în special pentru acele persoanele vizate care își au reședința în Uniune și ale căror date cu caracter personal sunt transferate.

(6) În cazul în care Comisia ia o decizie în temeiul alineatului (5), transferurile de date cu caracter personal către țara terță, un teritoriu sau un sector de prelucrare din acea țară terță sau către organizația internațională în cauză sunt interzise, fără a aduce atingere articolelor 42-44. La momentul oportun, Comisia efectuează consultări cu țara terță sau organizația internațională în vederea remedierii situației apărute în urma deciziei luate în conformitate cu alineatul (5) al prezentului articol.

(6) În cazul în care Comisia ia o decizie în temeiul alineatului (5), transferurile de date cu caracter personal către țara terță, un teritoriu sau un sector de prelucrare din acea țară terță sau către organizația internațională în cauză sunt interzise, fără a aduce atingere articolelor 42-44. La momentul oportun, Comisia efectuează consultări cu țara terță sau organizația internațională în vederea remedierii situației apărute în urma deciziei luate în conformitate cu alineatul (5) al prezentului articol.

 

(6a) Anterior adoptării unui act delegat așa cum se menționează la alineatele (3) și (5), Comisia solicită Comitetului european pentru protecția datelor să emită un aviz privind caracterul adecvat al nivelului de protecție. În acest scop, Comisia pune la dispoziția Comitetului european pentru protecția datelor toată documentația necesară, inclusiv corespondența purtată cu autoritățile publice ale țării terțe, ale teritoriului respectiv sau ale sectorului de prelucrare din țara respectivă sau cu organizația internațională.

(7) Comisia publică în Jurnalul Oficial al Uniunii Europene o listă a țărilor terțe, a teritoriilor și sectoarelor de prelucrare din țările terțe și a organizațiilor internaționale în cazul cărora a decis că nivelul de protecție adecvat este asigurat sau nu este asigurat.

(7) Comisia publică în Jurnalul Oficial al Uniunii Europene și pe site-ul său o listă a țărilor terțe, a teritoriilor și sectoarelor de prelucrare din țările terțe și a organizațiilor internaționale în cazul cărora a decis că nivelul de protecție adecvat este asigurat sau nu este asigurat.

(8) Deciziile adoptate de Comisie în temeiul articolului 25 alineatul (6) sau al articolului 26 alineatul (4) din Directiva 95/46/CE rămân în vigoare, până când sunt modificate, înlocuite sau abrogate de către Comisie.

(8) Deciziile adoptate de Comisie în temeiul articolului 25 alineatul (6) sau al articolului 26 alineatul (4) din Directiva 95/46/CE rămân în vigoare timp de cinci ani de la intrarea în vigoare a prezentului regulament, cu excepția cazului în care sunt modificate, înlocuite sau abrogate de către Comisie înainte de sfârșitul acestei perioade.

Amendamentul  138

Propunere de regulament

Articolul 42

Textul propus de Comisie

Amendamentul

Transferurile în baza unor garanții adecvate

Transferurile în baza unor garanții adecvate

(1) În cazul în care Comisia nu a luat o decizie în temeiul articolului 41, operatorul sau persoana împuternicită de către operator poate transfera date cu caracter personal într-o țară terță sau unei organizații internaționale numai dacă operatorul sau persoana împuternicită de către operator a oferit garanții adecvate în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie.

(1) În cazul în care Comisia nu a luat o decizie în temeiul articolului 41 sau decide că o țară terță sau un teritoriu ori un sector de prelucrare din respectiva țară terță sau o organizație internațională nu oferă un nivel adecvat de protecție în conformitate cu articolul 41 alineatul (5), operatorul sau persoana împuternicită de către operator nu poate transfera date cu caracter personal într-o țară terță sau unei organizații internaționale cu excepția cazului în care operatorul sau persoana împuternicită de către operator a oferit garanții adecvate în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie.

(2) Garanțiile corespunzătoare menționate la alineatul (1) sunt furnizate, în special, prin:

(2) Garanțiile corespunzătoare menționate la alineatul (1) sunt furnizate, în special, prin:

(a) reguli corporatiste obligatorii în conformitate cu articolul 43 sau

(a) reguli corporatiste obligatorii în conformitate cu articolul 43; or

 

(aa) deținerea de către operator sau persoana împuternicită de operator a unui „sigiliu în domeniul protecției datelor” conform articolului 39 alineatul (1e) sau

(b) clauze standard de protecție a datelor adoptate de Comisie. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2) sau

 

(c) clauze standard de protecție a datelor adoptate de o autoritate de supraveghere în conformitate cu mecanismul pentru asigurarea coerenței menționat la articolul 57, în condițiile în care Comisia a declarat că sunt general valabile în conformitate cu articolul 62 alineatul (1) litera (b) sau

(c) clauze standard de protecție a datelor adoptate de o autoritate de supraveghere în conformitate cu mecanismul pentru asigurarea coerenței menționat la articolul 57, în condițiile în care Comisia a declarat că sunt general valabile în conformitate cu articolul 62 alineatul (1) litera (b) sau

(d) clauze contractuale între operator sau persoana împuternicită de către operator și destinatarul datelor, aprobate de către o autoritate de supraveghere în conformitate cu alineatul (4).

(d) clauze contractuale între operator sau persoana împuternicită de către operator și destinatarul datelor, aprobate de către o autoritate de supraveghere în conformitate cu alineatul (4).

(3) Transferul realizat în baza clauzelor standard de protecție a datelor sau a regulilor corporatiste obligatorii menționate la alineatul (2) literele (a), (b) sau (c) nu necesită o altă autorizare suplimentară.

(3) Transferul realizat în baza clauzelor standard de protecție a datelor, a „sigiliului în domeniul protecției datelor”sau a regulilor corporatiste obligatorii menționate la alineatul (2) literele (a), (aa) sau (c) nu necesită o altă autorizare suplimentară specifică.

(4) Atunci când transferul se realizează în baza unor clauzele contractuale, astfel cum se menționează în prezentul articol la alineatul (2) litera (d), operatorul sau persoana împuternicită de către operator obține de la autoritatea de supraveghere autorizarea prealabilă pentru clauzele contractuale, în conformitate cu articolul 34 alineatul (1). Dacă transferul are legătură cu activitățile de prelucrare care se referă la persoane vizate din alt stat membru sau din alte state membre, sau dacă afectează în mod semnificativ libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57.

(4) Atunci când transferul se realizează în baza unor clauze contractuale, astfel cum se menționează în prezentul articol la alineatul (2) litera (d), operatorul sau persoana împuternicită de operator obține de la autoritatea de supraveghere competentă autorizare prealabilă pentru clauzele contractual. Dacă transferul are legătură cu activitățile de prelucrare care se referă la persoane vizate din alt stat membru sau din alte state membre, sau dacă afectează în mod semnificativ libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57.

(5) În cazul în care nu se furnizează garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie, operatorul sau persoana împuternicită de către operator obține autorizarea prealabilă pentru transfer sau seria de transferuri, sau pentru dispozițiile care vor fi incluse în acordurile administrative care constituie temeiul pentru un astfel de transfer. Autorizarea acordată de autoritatea de supraveghere este în conformitate cu articolul 34 alineatul (1). Dacă transferul are legătură cu activitățile de prelucrare care se referă la persoane vizate din alt stat membru sau din alte state membre, sau dacă afectează în mod semnificativ libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57. Autorizațiile acordate de către autoritatea de supraveghere în temeiul articolului 26 alineatul (2) din Directiva 95/46/CE sunt valabile, până la data la care sunt modificate, înlocuite sau abrogate de către respectiva autoritate de supraveghere.

(5) Autorizațiile acordate de către autoritatea de supraveghere în temeiul articolului 26 alineatul (2) din Directiva 95/46/CE sunt valabile timp de doi ani după intrarea în vigoare a prezentului regulament, cu excepția cazului în care sunt modificate, înlocuite sau abrogate de către respectiva autoritate de supraveghere înainte de sfârșitul acestei perioade.

Amendamentul          139

Propunere de regulament

Articolul 43

Textul propus de Comisie

Amendamentul

Transferurile în baza regulilor corporatiste obligatorii

Transferurile în baza regulilor corporatiste obligatorii

(1) În conformitate cu mecanismul pentru asigurarea coerenței prevăzut la articolul 58, autoritatea de supraveghere aprobă regulile corporatiste obligatorii, cu condiția ca acestea:

(1) În conformitate cu mecanismul pentru asigurarea coerenței prevăzut la articolul 58, autoritatea de supraveghere aprobă regulile corporatiste obligatorii, cu condiția ca acestea:

(a) să aibă forță juridică obligatorie și să se aplice fiecărui membru al grupului de întreprinderi al operatorului sau al persoanei împuternicite de către operator și să includă și pe salariații acestora;

(a) să aibă forță juridică obligatorie și să se aplice fiecărui membru al grupului de întreprinderi al operatorului și acelor subcontractanți externi care fac obiectul regulilor corporatiste obligatorii și să includă și pe salariații acestora;

(b) să confere, în mod expres, drepturi opozabile persoanelor vizate;

(b) să confere, în mod expres, drepturi opozabile persoanelor vizate;

(c) să îndeplinească cerințele prevăzute la alineatul (2).

(c) să îndeplinească cerințele prevăzute la alineatul (2).

 

(1a) În ceea ce privește datele de angajare, reprezentanții angajaților sunt informați cu privire la regulile corporatiste obligatorii și, în conformitate cu legislația și practicile Uniunii și ale statelor membre, sunt implicați în elaborarea acestora în conformitate cu articolul 43.

(2) Regulile corporatiste obligatorii trebuie să precizeze cel puțin:

(2) Regulile corporatiste obligatorii trebuie să precizeze cel puțin:

(a) structura și datele de contact ale grupului de întreprinderi și membrii din componența sa;

(a) structura și datele de contact ale grupului de întreprinderi și membrii din componența sa și acei subcontractanți externi care intră în domeniul de aplicare al regulilor corporatiste obligatorii;

(b) transferurile de date sau setul de transferuri, inclusiv categoriile de date cu caracter personal, tipul prelucrării și scopurile prelucrării, categoriile de persoane vizate și identificarea țării terțe sau a țărilor terțe în cauză;

(b) transferurile de date sau setul de transferuri, inclusiv categoriile de date cu caracter personal, tipul prelucrării și scopurile prelucrării, categoriile de persoane vizate și identificarea țării terțe sau a țărilor terțe în cauză;

(c) caracterul obligatoriu, atât pe plan intern, cât și extern;

(c) caracterul obligatoriu, atât pe plan intern, cât și extern;

(d) principiile generale în materie de protecție a datelor, în special limitarea scopului, calitatea datelor, temeiul juridic pentru prelucrarea datelor, prelucrarea datelor sensibile cu caracter personal; măsuri de asigurare a securității datelor, precum și cerințele pentru transferurile ulterioare către organizații care nu au obligații în temeiul politicilor;

(d) principiile generale în materie de protecție a datelor, în special limitarea scopului, reducerea la minimum a cantității datelor, perioade limitate de reținere, calitatea datelor, protecția datelor încă din faza de concepție și de protecție implicită a datelor, temeiul juridic pentru prelucrarea datelor, prelucrarea datelor sensibile cu caracter personal; măsuri de asigurare a securității datelor, precum și cerințele pentru transferurile ulterioare către organizații care nu au obligații în temeiul politicilor;

(e) drepturile persoanelor vizate și mijloacele de exercitare a acestor drepturi, inclusiv dreptul de a nu face obiectul unei măsuri bazate pe crearea de profiluri în conformitate cu articolul 20, dreptul de a depune o plângere în fața autorității de supraveghere competente și în fața instanțelor competente ale statelor membre, în conformitate cu articolul 75, precum și dreptul de a obține despăgubiri și, după caz, compensații pentru încălcarea regulilor corporatiste obligatorii;

(e) drepturile persoanelor vizate și mijloacele de exercitare a acestor drepturi, inclusiv dreptul de a nu face obiectul unei măsuri bazate pe crearea de profiluri în conformitate cu articolul 20, dreptul de a depune o plângere în fața autorității de supraveghere competente și în fața instanțelor competente ale statelor membre, în conformitate cu articolul 75, precum și dreptul de a obține despăgubiri și, după caz, compensații pentru încălcarea regulilor corporatiste obligatorii;

(f) acceptarea de către operator sau de persoana împuternicită de către operator, cu sediul pe teritoriul unui stat membru, a răspunderii pentru orice încălcare a regulilor corporatiste obligatorii de către orice membru al grupului de întreprinderi care nu are sediul în Uniune; operatorul sau persoana împuternicită de către operator pot fi exonerați de răspundere, integral sau parțial, numai în condițiile în care dovedesc că membrul respectiv nu răspunde de evenimentul care a cauzat daune;

(f) acceptarea de către operatorul cu sediul pe teritoriul unui stat membru, a răspunderii pentru orice încălcare a regulilor corporatiste obligatorii de către orice membru al grupului de întreprinderi care nu are sediul în Uniune; operatorul poate fi exonerat de răspundere, integral sau parțial, numai în condițiile în care dovedesc că membrul respectiv nu răspunde de evenimentul care a cauzat daune;

(g) modul în care informațiile privind regulile corporatiste obligatorii, în special cu privire la dispozițiile menționate la literele (d), (e) și (f) de la prezentul alineat sunt furnizate persoanelor vizate, conform articolului 11;

(g) modul în care informațiile privind regulile corporatiste obligatorii, în special cu privire la dispozițiile menționate la literele (d), (e) și (f) de la prezentul alineat sunt furnizate persoanelor vizate, conform articolului 11;

(h) sarcinile responsabilului cu protecția datelor, desemnat în conformitate cu articolul 35, inclusiv monitorizarea în cadrul grupului de întreprinderi a respectării regulilor corporatiste obligatorii, precum și monitorizarea formării și a gestionării plângerilor;

(h) sarcinile responsabilului cu protecția datelor, desemnat în conformitate cu articolul 35, inclusiv monitorizarea în cadrul grupului de întreprinderi a respectării regulilor corporatiste obligatorii, precum și monitorizarea formării și a gestionării plângerilor;

(i) mecanismele din cadrul grupului de întreprinderi în vederea garantării conformității cu regulile corporatiste obligatorii;

(i) mecanismele din cadrul grupului de întreprinderi în vederea garantării conformității cu regulile corporatiste obligatorii;

(j) mecanismele de comunicare și înregistrare a modificărilor aduse politicilor și de comunicare a acestor modificări autorității de supraveghere;

(j) mecanismele de comunicare și înregistrare a modificărilor aduse politicilor și de comunicare a acestor modificări autorității de supraveghere;

(k) mecanismul de cooperare cu autoritatea de supraveghere menite să asigure respectarea regulilor de către oricare membru al grupului de întreprinderi, în special prin punerea la dispoziția autorității de supraveghere a rezultatelor verificărilor cu privire la măsurile menționate la punctul (i) de la prezentul alineat.

(k) mecanismul de cooperare cu autoritatea de supraveghere menite să asigure respectarea regulilor de către oricare membru al grupului de întreprinderi, în special prin punerea la dispoziția autorității de supraveghere a rezultatelor verificărilor cu privire la măsurile menționate la punctul (i) de la prezentul alineat.

(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii criteriilor și cerințelor pentru regulile corporatiste obligatorii în sensul prezentului articol, în special în ceea ce privește criteriile pentru aprobarea lor, aplicarea literelor (b), (d), (e) și (f) de la alineatul (2) la regulile corporatiste obligatorii la care au aderat persoanele împuternicite de către operator și la alte cerințe necesare pentru a garanta protecția datelor cu caracter personal ale persoanelor vizate în cauză.

(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii formatului, procedurii, criteriilor și cerințelor pentru regulile corporatiste obligatorii în sensul prezentului articol, în special în ceea ce privește criteriile pentru aprobarea lor, inclusiv transparența pentru persoanele vizate, aplicarea literelor (b), (d), (e) și (f) de la alineatul (2) la regulile corporatiste obligatorii la care au aderat persoanele împuternicite de către operator și la alte cerințe necesare pentru a garanta protecția datelor cu caracter personal ale persoanelor vizate în cauză.

(4) Comisia poate preciza formatul și procedurile pentru schimbul de informații prin mijloace electronice între operatori, persoanele împuternicite de către operatori și autoritățile de supraveghere pentru regulile corporative cu forță juridică obligatorie în sensul prezentului articol. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2).

 

Amendamentul  140

Propunere de regulament

Articolul 43 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 43a

 

Transferurile sau divulgările de informații neautorizate de legislația Uniunii

 

(1) Nicio sentință a unei instanțe sau a unui tribunal și nicio decizie a unei autorități administrative dintr-o țară terță potrivit căreia un operator sau o persoană împuternicită de către un operator trebuie să divulge date cu caracter personal nu va fi recunoscută și nu va fi executorie sub nicio formă, fără a aduce atingere unui tratat de asistență juridică reciprocă sau unui acord internațional în vigoare între țara terță solicitantă și Uniune sau un stat membru al acesteia.

 

(2) În cazul în care o hotărâre a unei instanțe sau o decizie a unei autorități administrative a unei țări terțe impune unui operator sau persoanei împuternicite de acesta să comunice date cu caracter personal, operatorul, persoana împuternicită de acesta sau, după caz, reprezentantul operatorului notifică fără întârziere autoritatea de supraveghere cu privire la respectiva solicitare și trebuie să solicite autorizarea autorității de supraveghere anterior transferului.

 

(3) Autoritatea de supraveghere evaluează conformitatea solicitării de divulgare cu prezentul regulament și, în special, dacă divulgarea este necesară și impusă de lege în conformitate cu articolul 44 alineatul (1) literele (d) și (e) și cu articolul 44 alineatul (5). În cazul în care sunt afectate persoane vizate dintr-un alt stat membru, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței menționat la articolul 57.

 

(4) Autoritatea de supraveghere informează autoritatea națională competentă cu privire la solicitare. Fără a aduce atingere dispozițiilor de la articolul 21, operatorul sau persoana împuternicită de către operator informează, de asemenea, persoanele vizate cu privire la solicitare și la autorizația acordată de autoritatea de supraveghere și, după caz, informează persoana vizată dacă datele sale cu caracter personal au fost transmise autorităților publice în cursul ultimelor 12 luni consecutive în conformitate cu articolul 14 alineatul (1) litera (ha).

Amendamentul  141

Propunere de regulament

Articolul 44

Textul propus de Comisie

Amendamentul

Derogări

Derogări

(1) În absența unei decizii privind caracterul adecvat al nivelului de protecție în conformitate cu articolul 41, sau a unor garanții adecvate în conformitate cu articolul 42, un transfer sau o serie de transferuri de date cu caracter personal către o țară terță sau o organizație internațională poate avea loc numai în condițiile în care:

(1) În absența unei decizii privind caracterul adecvat al nivelului de protecție în conformitate cu articolul 41, sau a unor garanții adecvate în conformitate cu articolul 42, un transfer sau o serie de transferuri de date cu caracter personal către o țară terță sau o organizație internațională poate avea loc numai în condițiile în care:

(a) persoana vizată și-a exprimat acordul cu privire la transferul propus, după ce a fost informată cu privire la riscurile acestor transferuri în lipsa unei decizii privind caracterul adecvat al nivelului de protecție și a garanțiilor corespunzătoare sau

(a) persoana vizată și-a exprimat acordul cu privire la transferul propus, după ce a fost informată cu privire la riscurile acestor transferuri în lipsa unei decizii privind caracterul adecvat al nivelului de protecție și a garanțiilor corespunzătoare sau

(b) transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate sau

(b) transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate sau

(c) transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică sau

(c) transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică sau

(d) transferul este necesar din motive importante, de interes public sau

(d) transferul este necesar din motive importante, de interes public sau

(e) transferul este necesar pentru constatarea, exercitarea sau apărarea unui drept în instanță sau

(e) transferul este necesar pentru constatarea, exercitarea sau apărarea unui drept în instanță sau

(f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul sau

(f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul sau

(g) transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al statului membru, are scopul de a furniza informații publicului și care poate fi consultat fie de public, în general, fie de orice persoană care poate face dovada interesului legitim, în măsura în care sunt îndeplinite condițiile cu privire la consultare prevăzute de dreptul Uniunii sau al statului membru în acel caz specific sau

(g) transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al statului membru, are scopul de a furniza informații publicului și care poate fi consultat fie de public, în general, fie de orice persoană care poate face dovada interesului legitim, în măsura în care sunt îndeplinite condițiile cu privire la consultare prevăzute de dreptul Uniunii sau al statului membru în acel caz specific.

(h) transferul este necesar în scopul intereselor legitime urmărite de operator sau de persoana împuternicită de către operator, nu poate fi considerat frecvent sau voluminos, iar operatorul sau persoana împuternicită de către operator a evaluat toate circumstanțele aferente operațiunii de transfer de date sau seriei de operațiuni de transfer de date și în baza acestei evaluări a oferit garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal, în cazul în care acest lucru este necesar.

 

(2) Transferul în temeiul alineatului (1) litera (g) nu implică totalitatea datelor cu caracter personal sau ansamblul categoriilor de date cu caracter personal cuprinse în registru. Atunci când registrul urmează a fi consultat de către persoane care au un interes legitim, transferul se efectuează numai la cererea persoanelor respective sau, în cazul în care acestea vor fi destinatarii.

(2) Transferul în temeiul alineatului (1) litera (g) nu implică totalitatea datelor cu caracter personal sau ansamblul categoriilor de date cu caracter personal cuprinse în registru. Atunci când registrul urmează a fi consultat de către persoane care au un interes legitim, transferul se efectuează numai la cererea persoanelor respective sau, în cazul în care acestea vor fi destinatarii.

(3) În cazul în care prelucrarea se realizează în baza alineatului (1) litera (h), operatorul sau persoana împuternicită de către operator trebuie să acorde atenție deosebită naturii datelor, scopului și duratei operațiunii sau operațiunilor propuse de prelucrare, situației din țara de origine, din țara terță și din țara de destinație finală și garanțiilor corespunzătoare oferite în ceea ce privește protecția datelor cu caracter personal, în cazul în care este necesar.

 

(4) Literele (b), (c) și (h) de la alineatul (1) nu se aplică în cazul activităților desfășurate de către autoritățile publice în exercitarea competențelor lor publice.

(4) Literele (b) și (c) de la alineatul (1) nu se aplică în cazul activităților desfășurate de către autoritățile publice în exercitarea competențelor lor publice.

(5) Interesul public prevăzut la alineatul (1) litera (d) trebuie să fie recunoscut în dreptul Uniunii sau în dreptul statului membru sub incidența căruia intră operatorul.

(5) Interesul public prevăzut la alineatul (1) litera (d) trebuie să fie recunoscut în dreptul Uniunii sau în dreptul statului membru sub incidența căruia intră operatorul.

(6) Operatorul sau persoana împuternicită de către operator consemnează evaluarea și garanțiile corespunzătoare oferite prevăzute la alineatul (1) litera (h) de la prezentul articol, în documentele prevăzute la articolul 28 și informează autoritatea de supraveghere cu privire la transfer.

 

(7) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii „motivelor importante, de interes public”, în sensul alineatului (1) litera (d), precum și a criteriilor și cerințelor aplicabile garanțiilor corespunzătoare prevăzute la alineatul (1) litera (h).

(7) Comitetul european pentru protecția datelor are sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) cu scopul detalierii criteriilor și cerințelor aplicabile transferurilor de date în temeiul alineatului (1).

Amendamentul  142

Propunere de regulament

Articolul 45 – alineatul 1 – litera a

Textul propus de Comisie

Amendamentul

(a) elaborarea de mecanisme eficiente de cooperare internațională pentru a facilita asigurarea aplicării legislației privind protecția datelor cu caracter personal;

(a) elaborarea de mecanisme eficiente de cooperare internațională pentru a asigura aplicarea legislației privind protecția datelor cu caracter personal;

Amendamentul  143

Propunere de regulament

Articolul 45 – alineatul 1 – litera d a (nouă)

Textul propus de Comisie

Amendamentul

 

(da) clarificarea și consultarea privind conflictele jurisdicționale cu țările terțe.

Amendamentul  144

Propunere de regulament

Articolul 45 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 45a

 

Raportul Comisiei

 

Comisia prezintă Parlamentului European și Consiliului la intervale regulate, cel târziu după patru ani de la data menționată la articolul 91 alineatul (1), un raport privind aplicarea articolelor 40-45. În acest sens, Comisia poate solicita informații de la statele membre și de la autoritățile de supraveghere, care sunt furnizate fără întârzieri nejustificate. Raportul se publică.

Amendamentul  145

Propunere de regulament

Articolul 47 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Autoritatea de supraveghere beneficiază de independență deplină în exercitarea îndatoririlor și competențelor care îi sunt încredințate.

(1) Autoritatea de supraveghere beneficiază de independență și imparțialitate deplină în exercitarea îndatoririlor și competențelor care îi sunt încredințate, fără a aduce atingere dispozițiilor referitoare la cooperare și coerență, menționate la Capitolul VII din prezentul regulament.

Amendamentul  146

Propunere de regulament

Articolul 47 – alineatul 7 a (nou)

Textul propus de Comisie

Amendamentul

 

(7a) Statele membre se asigură că autoritatea de supraveghere răspunde în fața parlamentului național în materie de control bugetar.

Amendamentul  147

Propunere de regulament

Articolul 50

Textul propus de Comisie

Amendamentul

Secretul profesional

Secretul profesional

În cursul mandatului și după încetarea mandatului, membrii și personalul autorității de supraveghere au obligația de a respecta secretul profesional în ceea ce privește informațiile confidențiale de care au luat cunoștință în timpul exercitării sarcinilor lor oficiale.

În cursul mandatului și după încetarea mandatului și în conformitatea cu legislația și practicile naționale, membrii și personalul autorităților de supraveghere au obligația de a respecta secretul profesional în ceea ce privește informațiile confidențiale de care au luat cunoștință în timpul exercitării sarcinilor lor oficiale, îndeplinindu-și îndatoririle în mod independent și transparent, în conformitate cu prezentul regulament.

Amendamentul                     148

Propunere de regulament

Articolul 51 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Fiecare autoritate de supraveghere exercită, pe teritoriul statului membru de care aparține, funcțiile cu care este investită în conformitate cu prezentul regulament.

(1) Fiecare autoritate de supraveghere are competența de a îndeplini îndatoririle și de a exercita funcțiile cu care este învestită în conformitate cu prezentul regulament, pe teritoriul propriului său stat membru, fără a aduce atingere articolelor 73 și 74. Prelucrarea datelor efectuată de o autoritate publică este supravegheată doar de autoritatea de supraveghere din statul membru respectiv.

Amendamentul  149

Propunere de regulament

Articolul 51 – alineatul 2

Textul propus de Comisie

Amendamentul

(2) Atunci când prelucrarea datelor cu caracter personal are loc în contextul activităților unei unități a unui operator sau a unei persoane împuternicite de către operator, din Uniune, iar operatorul sau persoană împuternicită de către operator are unități pe teritoriul mai multor state membre, autoritatea de supraveghere a principalei unități a operatorului sau a persoanei împuternicite de către operator are competența supravegherii activităților de prelucrare desfășurate de operator sau de persoana împuternicită de către operator în toate statele membre, fără a aduce atingere dispozițiilor capitolului VII din prezentul regulament.

eliminat

Amendamentul  150

Propunere de regulament

Articolul 52 – alineatul 1 – litera b

Textul propus de Comisie

Amendamentul

(b) primește reclamațiile depuse de orice persoană vizată sau de o asociație care reprezintă persoana vizată respectivă, în conformitate cu articolul 73, investighează chestiunea, în măsura în care este adecvat, și informează, într-un termen rezonabil, persoana vizată sau asociația cu privire la evoluția și rezultatul reclamației, în special dacă este necesară efectuarea unei cercetări mai amănunțite sau coordonarea cu o altă autoritate de supraveghere;

(b) primește reclamațiile depuse de orice persoană vizată sau de o asociație, în conformitate cu articolul 73, investighează chestiunea, în măsura în care este adecvat, și informează, într-un termen rezonabil, persoana vizată sau asociația cu privire la evoluția și rezultatul reclamației, în special dacă este necesară efectuarea unei cercetări mai amănunțite sau coordonarea cu o altă autoritate de supraveghere;

Amendamentul  151

Propunere de regulament

Articolul 52 – alineatul 1 – litera d

Textul propus de Comisie

Amendamentul

(d) desfășoară anchete fie din proprie inițiativă, fie pe baza unei reclamații sau la cererea altei autorități de supraveghere și informează într-un termen rezonabil persoana vizată cu privire la rezultatul anchetelor, în cazul în care persoana vizată a depus o reclamație la această autoritate de supraveghere;

(d) desfășoară anchete fie din proprie inițiativă, fie pe baza unei reclamații sau a informațiilor specifice și documentate primite prin care se invocă o prelucrare ilegală sau la cererea altei autorități de supraveghere și informează într-un termen rezonabil persoana vizată cu privire la rezultatul anchetelor, în cazul în care persoana vizată a depus o reclamație la această autoritate de supraveghere;

Amendamentul  152

Propunere de regulament

Articolul 52 – alineatul 1 – litera ja (nouă)

Textul propus de Comisie

Amendamentul

 

(ja) certifică operatorii și persoanele împuternicite de către operatori în conformitate cu articolul 39.

Amendamentul  153

Propunere de regulament

Articolul 52 – alineatul 2

Textul propus de Comisie

Amendamentul

(2) Fiecare autoritate de supraveghere promovează acțiuni de sensibilizare a publicului cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal. Se acordă atenție specială activităților care se adresează în mod special copiilor.

(2) Fiecare autoritate de supraveghere promovează acțiuni de sensibilizare a publicului cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal și cu privire la măsurile corespunzătoare de protecție a datelor cu caracter personal. Se acordă atenție specială activităților care se adresează în mod special copiilor.

Amendamentul  154

Propunere de regulament

Articolul 52 – alineatul 2 a (nou)

Textul propus de Comisie

Amendamentul

 

(2a) Fiecare autoritate de supraveghere, în colaborare cu Comitetul european pentru protecția datelor, promovează acțiuni de sensibilizare a operatorilor și a persoanelor împuternicite de către operatori cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal. Aceasta include păstrarea unui registru al sancțiunilor și încălcărilor. Registrul ar trebui să consemneze într-un mod cât mai detaliat atât avertizările, cât și sancțiunile, precum și soluționarea încălcărilor. Fiecare autoritate de supraveghere furnizează microîntreprinderilor, întreprinderilor mici și mijlocii, operatorilor și persoanelor împuternicite de către operatori, la cerere, informații generale cu privire la responsabilitățile și obligațiile ce le revin în temeiul prezentului regulament.

Amendamentul  155

Propunere de regulament

Articolul 52 – alineatul 6

Textul propus de Comisie

Amendamentul

(6) În cazul în care cererile sunt în mod evident excesive, în special din cauza caracterului repetitiv al acestora, autoritatea de supraveghere poate percepe o taxă sau poate să nu efectueze acțiunea care face obiectul cererii persoanei vizate. Sarcina probei cu privire la caracterul evident excesiv al cererii revine autorității de supraveghere.

(6) În cazul în care cererile sunt în mod evident excesive, în special din cauza caracterului repetitiv al acestora, autoritatea de supraveghere poate percepe o taxă rezonabilă sau poate să nu efectueze acțiunea care face obiectul cererii persoanei vizate. Această taxă nu depășește costurile adoptării măsurii solicitate. Sarcina probei cu privire la caracterul evident excesiv al cererii revine autorității de supraveghere.

Amendamentul  156

Propunere de regulament

Articolul 53

Textul propus de Comisie

Amendamentul

Funcții

Funcții

(1) Fiecare autoritate de supraveghere este abilitată:

(1) În conformitate cu prezentul regulament, fiecare autoritate de supraveghere este abilitată:

(a) să notifice operatorul sau persoana împuternicită de către operator cu privire la presupusa încălcare a dispozițiilor care reglementează prelucrarea datelor cu caracter personal și, după caz, să dispună remedierea încălcării de către operator sau persoana împuternicită de către operator, în mod specific, pentru îmbunătățirea protecției de care beneficiază persoana vizată;

(a) să notifice operatorul sau persoana împuternicită de către operator cu privire la presupusa încălcare a dispozițiilor care reglementează prelucrarea datelor cu caracter personal și, după caz, să dispună remedierea încălcării de către operator sau persoana împuternicită de către operator, în mod specific, pentru îmbunătățirea protecției de care beneficiază persoana vizată, sau să impună operatorului să comunice persoanei vizate încălcarea securității datelor cu caracter personal;

(b) să solicite operatorului sau persoanei împuternicite de către operator să respecte cererile persoanei vizate de exercitare a drepturilor prevăzute de prezentul regulament;

(b) să solicite operatorului sau persoanei împuternicite de către operator să respecte cererile persoanei vizate de exercitare a drepturilor prevăzute de prezentul regulament;

(c) să solicite operatorului sau persoanei împuternicite de către operator și, după caz, reprezentantului să furnizeze orice informații relevante pentru îndeplinirea funcțiilor sale;

(c) să solicite operatorului sau persoanei împuternicite de către operator și, după caz, reprezentantului să furnizeze orice informații relevante pentru îndeplinirea funcțiilor sale;

(d) să asigure respectarea autorizațiilor prealabile și a consultărilor prealabile prevăzute la articolul 34;

(d) să asigure respectarea autorizațiilor prealabile și a consultărilor prealabile prevăzute la articolul 34;

(e) să adreseze un avertisment sau o mustrare operatorului sau persoanei împuternicite de către operator;

(e) să adreseze un avertisment sau o mustrare operatorului sau persoanei împuternicite de către operator;

(f) să dispună rectificarea, ștergerea sau distrugerea tuturor datelor atunci când acestea au fost prelucrate cu încălcarea dispozițiilor prezentului regulament, precum și notificarea acestor acțiuni terților cărora le-au fost dezvăluite aceste date;

(f) să dispună rectificarea, ștergerea sau distrugerea tuturor datelor atunci când acestea au fost prelucrate cu încălcarea dispozițiilor prezentului regulament, precum și notificarea acestor acțiuni terților cărora le-au fost dezvăluite aceste date;

(g) să impună interdicția temporară sau definitivă privind prelucrarea;

(g) să impună interdicția temporară sau definitivă privind prelucrarea;

(h) să suspende fluxurile de date către un destinatar într-o țară terță sau către o organizație internațională;

(h) să suspende fluxurile de date către un destinatar într-o țară terță sau către o organizație internațională;

(i) să emită avize cu privire la orice aspect legat de protecția datelor cu caracter personal;

(i) să emită avize cu privire la orice aspect legat de protecția datelor cu caracter personal;

 

(ia) să certifice operatorii și persoanele împuternicite de către operatori în conformitate cu articolul 39;

(j) să informeze parlamentul național, guvernul sau alte instituții politice, precum și publicul cu privire la orice aspect legat de protecția datelor cu caracter personal.

(j) să informeze parlamentul național, guvernul sau alte instituții politice, precum și publicul cu privire la orice aspect legat de protecția datelor cu caracter personal;

 

(ja) să stabilească mecanisme eficiente pentru a încuraja comunicarea confidențială a încălcărilor prezentului regulament, luând în considerare orientările formulate de Comitetul european pentru protecția datelor în conformitate cu articolul 66 alineatul (4) litera (b).

(2) Fiecare autoritate de supraveghere are competențe de investigare pentru a obține din partea operatorului sau a persoanei împuternicite de către operator:

(2) Fiecare autoritate de supraveghere are competențe de investigare pentru a obține din partea operatorului sau a persoanei împuternicite de către operator, fără înștiințare prealabilă:

(a) accesul la toate datele cu caracter personal și la toate informațiile necesare pentru executarea atribuțiilor sale;

(a) accesul la toate datele cu caracter personal și la toate documentele și informațiile necesare pentru executarea atribuțiilor sale;

(b) accesul la oricare din localurile sale, inclusiv la eventualele echipamente și mijloace de prelucrare a datelor, în cazul în care există motive întemeiate de a presupune că se efectuează o activitate care contravine prezentului regulament.

(b) accesul la oricare din localurile sale, inclusiv la eventualele echipamente și mijloace de prelucrare a datelor.

Puterile prevăzute la litera (b) se exercită în conformitate cu dreptul Uniunii și cu legislația statului membru.

Puterile prevăzute la litera (b) se exercită în conformitate cu dreptul Uniunii și cu legislația statului membru.

(3) Fiecare autoritate de supraveghere este abilitată să aducă în atenția autorităților judiciare cazurile de încălcare a prezentului regulament și să se implice în procedurile judiciare, în special în conformitate cu articolul 74 alineatul (4) și articolul 75 alineatul (2).

(3) Fiecare autoritate de supraveghere este abilitată să aducă în atenția autorităților judiciare cazurile de încălcare a prezentului regulament și să se implice în procedurile judiciare, în special în conformitate cu articolul 74 alineatul (4) și articolul 75 alineatul (2).

(4) Fiecare autoritate de supraveghere poate sancționa contravențiile de natură administrativă, în special cele prevăzute la articolul 79 alineatele (4), (5) și (6).

(4) Fiecare autoritate de supraveghere poate sancționa contravențiile de natură administrativă, în conformitate cu articolul 79. Aceste competențe se exercită într-un mod eficient, proporțional și disuasiv.

Amendamentul  157

Propunere de regulament

Articolul 54

Textul propus de Comisie

Amendamentul

Fiecare autoritate de supraveghere trebuie să întocmească un raport anual cu privire la activitățile sale. Raportul trebuie să fie prezentat parlamentului național și se pune la dispoziția publicului, Comisiei și Comitetului european pentru protecția datelor.

Fiecare autoritate de supraveghere trebuie să întocmească un raport cu privire la activitățile sale cel puțin o dată la doi ani. Raportul este prezentat parlamentului respectiv și se pune la dispoziția publicului, Comisiei și Comitetului european pentru protecția datelor.

Amendamentul  158

Propunere de regulament

Articolul 54 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 54a

 

Autoritatea principală

 

(1) În cazul în care prelucrarea datelor cu caracter personal are loc în contextul activităților unei unități a unui operator sau a unei persoane împuternicite de către operator din Uniune, iar operatorul sau persoana împuternicită de către operator deține unități în mai multe state membre, sau în cazul în care se prelucrează date cu caracter personal ale rezidenților din mai multe state membre, autoritatea de supraveghere a principalei unități a operatorului sau a persoanei împuternicite de către operator deține rolul de autoritate principală responsabilă de supravegherea activităților de prelucrare ale operatorului sau ale persoanei împuternicite de către operator în toate statele membre, în conformitate cu dispozițiile capitolului VII din prezentul Regulament.

 

(2) Autoritatea principală de supraveghere ia măsuri corespunzătoare pentru supravegherea activităților de prelucrare ale operatorului sau ale persoanei împuternicite de către operator de care este responsabilă doar după consultarea celorlalte autorități de supraveghere competente în sensul articolului 51 alineatul (1), străduindu-se să ajungă la un consens. În acest scop, ea prezintă, în special, toate informațiile relevante și consultă celelalte autorități înainte să adopte o măsură prevăzută a produce efecte juridice în ceea ce privește operatorul sau persoana împuternicită de către operator în sensul articolului 51 alineatul (1). Autoritatea principală ține cont în cea mai mare măsură de opiniile autorităților implicate. Autoritatea principală este unica autoritate împuternicită să hotărască cu privire la măsurile prevăzute a produce efecte juridice în ceea ce privește activitățile de procesare ale operatorului sau ale persoanei împuternicite de către operator de care este responsabilă.

 

(3) Comitetul european pentru protecția datelor, la cererea autorității de supraveghere competente, emite un aviz cu privire la identificarea autorității principale responsabile de operator sau de persoana împuternicită de către operator, în cazul în care:

 

(a) nu reiese în mod clar din situația de fapt unde este situată unitatea principală a operatorului sau a persoanei împuternicite de către operator; sau

 

(b) autoritățile competente nu sunt de acord cu privire la identitatea autorității de supraveghere care deține rolul de autoritate principală; sau

 

(c) operatorul nu deține unități pe teritoriul Uniunii, iar rezidenți din diferite state membre sunt afectați de operațiunile de prelucrare care fac obiectul prezentului regulament.

 

(3a) în cazul în care operatorul exercită, de asemenea, activități în calitate de persoană împuternicită a unui operator, autoritatea de supraveghere a unității principale a operatorului deține rolul de autoritate principală pentru supravegherea activităților de prelucrare.

 

(4) Comitetul european pentru protecția datelor poate hotărî cu privire la identificarea autorității principale.

Alineatul (1) din amendamentul Parlamentului se întemeiază pe articolul 51 alineatul (2) din propunerea Comisiei.

 

Amendamentul  159

Propunere de regulament

Articolul 55 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Autoritățile de supraveghere își furnizează reciproc informații relevante și asistență reciprocă pentru a pune în aplicare prezentul regulament în mod coerent și instituie măsuri de cooperare eficace între ele. Asistența reciprocă se referă, în special, la cereri de informații și măsuri de control, cum ar fi cereri de autorizare și consultare prealabile, inspecții și comunicarea rapidă a informațiilor privind deschiderea dosarelor și evoluția ulterioară a acestora atunci când persoanele vizate în mai multe state membre sunt susceptibile de a fi afectate de operațiuni de prelucrare.

(1) Autoritățile de supraveghere își furnizează reciproc informații relevante și asistență reciprocă pentru a pune în aplicare prezentul regulament în mod coerent și instituie măsuri de cooperare eficace între ele. Asistența reciprocă se referă, în special, la cereri de informații și măsuri de control, cum ar fi cereri de autorizare și consultare prealabile, inspecții și investigații, precum și comunicarea rapidă a informațiilor privind deschiderea dosarelor și evoluția ulterioară a acestora în cazul în care operatorul sau persoana împuternicită de către operator deține unități în mai multe state membre sau atunci când persoanele vizate în mai multe state membre sunt susceptibile de a fi afectate de operațiuni de prelucrare. Autoritatea principală definită la articolul 54a asigură coordonarea cu autoritățile de supraveghere implicate și deține rolul de ghișeu unic pentru operator sau persoana împuternicită de către operator.

Amendamentul  160

Propunere de regulament

Articolul 55 – alineatul 7

Textul propus de Comisie

Amendamentul

(7) Pentru acțiunile întreprinse în urma unei solicitări de asistență reciprocă nu se percepe nicio taxă.

(7) Pentru acțiunile întreprinse în urma unei solicitări de asistență reciprocă nu se percepe nicio taxă de la autoritatea de supraveghere solicitantă.

Amendamentul  161

Propunere de regulament

Articolul 55 – alineatul 8

Textul propus de Comisie

Amendamentul

(8) În cazul în care o autoritate de supraveghere nu acționează în termen de o lună de la solicitarea din partea altei autorități de supraveghere, aceasta din urmă are competența de a lua o măsură provizorie pe teritoriul propriului stat membru, în conformitate cu articolul 51 alineatul (1), și sesizează Comitetul european pentru protecția datelor în conformitate cu procedura menționată la articolul 57.

(8) În cazul în care o autoritate de supraveghere nu acționează în termen de o lună de la solicitarea din partea altei autorități de supraveghere, aceasta din urmă are competența de a lua o măsură provizorie pe teritoriul propriului stat membru, în conformitate cu articolul 51 alineatul (1), și sesizează Comitetul european pentru protecția datelor în conformitate cu procedura menționată la articolul 57. Autoritatea de supraveghere solicitantă poate adopta măsuri provizorii în temeiul articolului 53 pe teritoriul propriului său stat membru, în cazul în care, din cauza nefinalizării asistenței, nu se pot adopta încă măsuri definitive.

Amendamentul  162

Propunere de regulament

Articolul 55 – alineatul 9

Textul propus de Comisie

Amendamentul

(9) Autoritatea de supraveghere precizează perioada de valabilitate a acestei măsuri provizorii. Această perioadă nu depășește trei luni. Autoritatea de supraveghere comunică fără întârziere aceste măsuri, motivate în mod corespunzător, Comitetului european pentru protecția datelor și Comisiei.

(9) Autoritatea de supraveghere precizează perioada de valabilitate a acestei măsuri provizorii. Această perioadă nu depășește trei luni. Autoritatea de supraveghere comunică fără întârziere aceste măsuri, motivate în mod corespunzător, Comitetului european pentru protecția datelor și Comisiei în conformitate cu procedura menționată la articolul 57.

Amendamentul  163

Propunere de regulament

Articolul 55 – alineatul 10

Textul propus de Comisie

Amendamentul

(10) Comisia poate specifica forma și procedurile pentru asistența reciprocă menționată în prezentul articol, precum și modalitățile de schimb de informații prin mijloace electronice între autoritățile de supraveghere și între autoritățile de supraveghere și Comitetul european pentru protecția datelor, în special formularul standard menționat la alineatul (6). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

(10) Comitetul european pentru protecția datelor poate specifica forma și procedurile pentru asistența reciprocă menționată în prezentul articol, precum și modalitățile de schimb de informații prin mijloace electronice între autoritățile de supraveghere și între autoritățile de supraveghere și Comitetul european pentru protecția datelor, în special formularul standard menționat la alineatul (6).

Amendamentul  164

Propunere de regulament

Articolul 56 – alineatul 2

Textul propus de Comisie

Amendamentul

(2) În cazul în care persoanele vizate în mai multe state membre sunt susceptibile de a fi afectate de operațiuni de prelucrare, o autoritate de supraveghere din fiecare dintre statele membre respective are dreptul de a participa la misiunile comune de anchetă sau la operațiunile comune, după caz. Autoritatea de supraveghere competentă invită autoritățile de supraveghere din fiecare dintre aceste state membre să ia parte la misiunile comune de anchetă sau operațiunile comune respective și răspunde fără întârziere la solicitarea unei autorități de supraveghere care dorește să participe la operațiuni.

(2) În cazul în care operatorul sau persoana împuternicită de către operator deține unități în mai multe state membre sau dacă persoanele vizate din mai multe state membre sunt susceptibile de a fi afectate de operațiuni de prelucrare, o autoritate de supraveghere din fiecare dintre statele membre respective are dreptul de a participa la misiunile comune de anchetă sau la operațiunile comune, după caz. Autoritatea principală definită la articolul 54a implică autoritățile de supraveghere din fiecare dintre aceste state membre în misiunile comune de anchetă sau operațiunile comune respective și răspunde fără întârziere la solicitarea unei autorități de supraveghere care dorește să participe la operațiuni. Autoritatea principală deține rolul de ghișeu unic pentru operator sau persoana împuternicită de către operator.

Amendamentul  165

Propunere de regulament

Articolul 57

Textul propus de Comisie

Amendamentul

Mecanismul pentru asigurarea coerenței

Mecanismul pentru asigurarea coerenței

Pentru scopurile stabilite la articolul 46 alineatul (1), autoritățile de supraveghere cooperează între ele și cu Comisia prin mecanismul pentru asigurarea coerenței, astfel cum se prevede în prezenta secțiune.

Pentru scopurile stabilite la articolul 46 alineatul (1), autoritățile de supraveghere cooperează între ele și cu Comisia prin mecanismul pentru asigurarea coerenței privind atât chestiunile cu caracter general cât și cazurile specifice în conformitate cu dispozițiile din prezenta secțiune.

Amendamentul  166

Propunere de regulament

Articolul 58

Textul propus de Comisie

Amendamentul

Avizul Comitetului european pentru protecția datelor

Coerența privind chestiunile de aplicare generală

(1) Înainte de a adopta o măsură menționată la alineatul (2), o autoritate de supraveghere comunică proiectul de măsură Comitetului european pentru protecția datelor și Comisiei.

(1) Înainte de a adopta o măsură menționată la alineatul (2), o autoritate de supraveghere comunică proiectul de măsură Comitetului european pentru protecția datelor și Comisiei.

(2) Obligația prevăzută la alineatul (1) se aplică unei măsuri menite să producă efecte juridice și care:

(2) Obligația prevăzută la alineatul (1) se aplică unei măsuri menite să producă efecte juridice și care:

(a) se referă la activități de prelucrare legate de furnizarea de bunuri sau servicii persoanelor vizate în mai multe state membre, sau de monitorizarea comportamentului acestora sau

 

(b) pot afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii sau

 

(c) vizează adoptarea unei liste de operațiuni de prelucrare care fac obiectul unei consultări prealabile în temeiul articolului 34 alineatul (5) sau

 

(d) vizează determinarea clauzelor standard în materie de protecție a datelor menționate la articolul 42 alineatul (2) litera (c) sau

(d) vizează determinarea clauzelor standard în materie de protecție a datelor menționate la articolul 42 alineatul (2) litera (c); sau

(e) vizează autorizarea clauzelor contractuale menționate la articolul 42 alineatul (2) litera (d) sau

(e) vizează autorizarea clauzelor contractuale menționate la articolul 42 alineatul (2) litera (d); sau

(f) vizează aprobarea regulilor corporatiste obligatorii în sensul articolului 43.

(f) vizează aprobarea regulilor corporatiste obligatorii în sensul articolului 43.

(3) Orice autoritate de supraveghere sau Comitetul european pentru protecția datelor poate solicita ca orice chestiune să fie abordată în cadrul mecanismului pentru asigurarea coerenței, în special în cazul în care o autoritate de supraveghere nu prezintă un proiect de măsură menționat la alineatul (2) sau nu respectă obligațiile privind asistența reciprocă în conformitate cu articolul 55 sau privind operațiunile comune în conformitate cu articolul 56.

(3) Orice autoritate de supraveghere sau Comitetul european pentru protecția datelor poate solicita ca orice chestiune de aplicare generală să fie abordată în cadrul mecanismului pentru asigurarea coerenței, în special în cazul în care o autoritate de supraveghere nu prezintă un proiect de măsură menționat la alineatul (2) sau nu respectă obligațiile privind asistența reciprocă în conformitate cu articolul 55 sau privind operațiunile comune în conformitate cu articolul 56.

(4) Pentru a asigura aplicarea corectă și coerentă a prezentului regulament, Comisia poate solicita ca orice chestiune să fie abordată în cadrul mecanismului pentru asigurarea coerenței.

(4) Pentru a asigura aplicarea corectă și coerentă a prezentului regulament, Comisia poate solicita ca orice chestiune de aplicare generală să fie abordată în cadrul mecanismului pentru asigurarea coerenței.

(5) Autoritățile de supraveghere și Comisia comunică electronic orice informație relevantă, inclusiv, după caz, o sinteză a faptelor, proiectul de măsură, precum și motivele care fac necesară adoptarea unei astfel de măsuri, utilizând un formular standard.

(5) Autoritățile de supraveghere și Comisia comunică electronic, fără întârzieri nejustificate, orice informație relevantă, inclusiv, după caz, o sinteză a faptelor, proiectul de măsură, precum și motivele care fac necesară adoptarea unei astfel de măsuri, utilizând un formular standard.

(6) Președintele Comitetului european pentru protecția datelor informează fără întârziere pe cale electronică membrii Comitetului european pentru protecția datelor și Comisia cu privire la orice informație relevantă care i-a fost comunicată, utilizând un formular standard. Președintele Comitetului european pentru protecția datelor furnizează traduceri ale informațiilor relevante, dacă este necesar.

(6) Președintele Comitetului european pentru protecția datelor informează fără întârzieri nejustificate, pe cale electronică, membrii Comitetului european pentru protecția datelor și Comisia cu privire la orice informație relevantă care i-a fost comunicată, utilizând un formular standard. Secretariatul Comitetului european pentru protecția datelor furnizează traduceri ale informațiilor relevante, dacă este necesar.

 

(6a) Comitetul european pentru protecția datelor adoptă un aviz cu privire la chestiunile care îi sunt prezentate în temeiul alineatului (2).

(7) În cazul în care Comitetul european pentru protecția datelor decide acest lucru prin majoritate simplă a membrilor săi sau în cazul în care orice autoritate de supraveghere sau Comisia solicită acest lucru, Comitetul european pentru protecția datelor emite un aviz cu privire la chestiune în termen de o săptămână de la data la care informațiile relevante au fost furnizate în conformitate cu alineatul (5). Avizul este adoptat în termen de o lună cu majoritate simplă a membrilor Comitetului european pentru protecția datelor. Președintele Comitetului european pentru protecția datelor informează, fără întârziere nejustificată, autoritatea de supraveghere menționată, după caz, la alineatele (1) și (3), Comisia și autoritatea de supraveghere competentă în conformitate cu articolul 51 cu privire la aviz și îl publică.

(7) Comitetul european pentru protecția datelor poate hotărî prin majoritate simplă dacă adoptă un aviz cu privire la orice chestiune prezentată în temeiul alineatelor (3) și (4), ținând seama:

 

(a) dacă chestiunea prezintă elemente noi, luând în considerare evoluțiile de drept sau de fapt, în special în domeniul tehnologiei informației și în lumina evoluțiilor din societatea informațională, precum și

 

(b) dacă Comitetul european pentru protecția datelor a emis deja un aviz cu privire la aceeași chestiune.

(8) Autoritatea de supraveghere menționată la alineatul (1) și autoritatea de supraveghere competentă în conformitate cu articolul 51 țin seama de avizul Comitetului european pentru protecția datelor și comunică pe cale electronică președintelui Comitetului european pentru protecția datelor și Comisiei, în termen de două săptămâni din momentul în care a fost informată cu privire la avizul președintelui Comitetului european pentru protecția datelor, dacă își păstrează sau își modifică proiectul de măsură și, dacă este cazul, transmite proiectul de măsură modificat, utilizând un formular standard.

(8) Comitetul european pentru protecția datelor adoptă avize în conformitate cu alineatul (6) litera (a) și alineatul (7) cu o majoritate simplă a membrilor săi. Aceste avize sunt făcute publice.

Amendamentul                     167

Propunere de regulament

Articolul 58 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 58a

 

Coerența în cazurile specifice

 

(1) Înainte de a adopta o măsură prevăzută a produce efecte juridice în sensul articolului 54a, autoritatea principală oferă toate informațiile pertinente și prezintă proiectul de măsură tuturor celorlalte autorități competente. Autoritatea principală nu adoptă măsura dacă o autoritate competentă a indicat, în termen de trei săptămâni, că are obiecții semnificative cu privire la măsura respectivă.

 

(2) În cazul în care o autoritate competentă a indicat că are obiecții semnificative cu privire la proiectul de măsură al autorității principale, sau în cazul în care autoritatea principală nu prezintă un proiect de măsură menționat la alineatul (1) sau nu respectă obligațiile privind asistența reciprocă în conformitate cu articolul 55 sau privind operațiunile comune în conformitate cu articolul 56, Comitetul european pentru protecția datelor examinează această chestiune.

 

(3) Autoritatea principală și/sau alte autorități competente interesate și Comisia comunică pe cale electronică, fără întârzieri nejustificate, Comitetului european pentru protecția datelor, utilizând un formular standard, orice informație relevantă, inclusiv, după caz, o sinteză a faptelor, proiectul de măsură, precum și motivele care fac necesară adoptarea unei astfel de măsuri, obiecțiile ridicate împotriva acesteia și opiniile celorlalte autorități de supraveghere vizate.

 

(4) Comitetul european pentru protecția datelor examinează această chestiune, luând în considerare impactul proiectelor de măsuri propuse de autoritatea principală cu privire la drepturile și libertățile fundamentale ale persoanelor vizate, și hotărăște prin majoritatea simplă a membrilor săi dacă emite un aviz cu privire la respectiva chestiune în termen de două săptămâni de la primirea informațiilor relevante în temeiul alineatului (3).

 

(5) În cazul în care Comitetul european pentru protecția datelor hotărăște să emită un aviz, acest lucru se efectuează în termen de șase săptămâni, iar avizul este făcut public.

 

(6) Autoritatea de supraveghere ține seama în cea mai mare măsură de avizul Comitetului european pentru protecția datelor și comunică pe cale electronică președintelui Comitetului european pentru protecția datelor și Comisiei, în termen de două săptămâni din momentul în care a fost informată cu privire la aviz de către președintele Comitetului european pentru protecția datelor, dacă își păstrează sau își modifică proiectul de măsură și, dacă este cazul, transmite proiectul de măsură modificat, utilizând un formular standard. În cazul în care autoritatea principală intenționează să nu urmeze avizul Comitetului european pentru protecția datelor, aceasta prezintă o explicație motivată.

 

(7) În cazul în care Comitetul european pentru protecția datelor prezintă încă obiecții în legătură cu măsura autorității de supraveghere menționată la alineatul (5), acesta poate adopta, în termen de o lună, cu o majoritate de două treimi o măsură obligatorie pentru autoritatea de supraveghere.

Amendamentul  168

Propunere de regulament

Articolul 59

Textul propus de Comisie

Amendamentul

Articolul 59

eliminat

Avizul Comisiei

 

(1) În termen de zece săptămâni din momentul în care o chestiune a fost ridicată în conformitate cu articolul 58, sau cel târziu în termen de șase săptămâni în cazul articolului 61, Comisia poate adopta, pentru a asigura aplicarea corectă și coerentă a prezentului regulament, un aviz cu privire la chestiunile ridicate în temeiul articolelor 58 sau 61.

 

(2) Atunci când Comisia a adoptat un aviz în conformitate cu alineatul (1), autoritatea de supraveghere în cauză acordă atenție maximă avizului Comisiei și informează Comisia și Comitetul european pentru protecția datelor dacă intenționează să își mențină sau să modifice proiectul de măsură.

 

(3) În timpul perioadei menționate la alineatul (1), autoritatea de supraveghere nu adoptă proiectul de măsură.

 

(4) În cazul în care autoritatea de supraveghere în cauză intenționează să nu se conformeze avizului Comisiei, acesta informează Comisia și Comitetul european pentru protecția datelor respectând termenul menționat la alineatul (1) și furnizează o motivare. În acest caz, proiectul de măsură nu este adoptat timp de o lună suplimentară.

 

Amendamentul  169

Propunere de regulament

Articolul 60

Textul propus de Comisie

Amendamentul

Articolul 60

eliminat

Suspendarea unui proiect de măsură

 

(1) În termen de o lună de la comunicarea menționată la articolul 59 alineatul (4) și în cazul în care Comisia are îndoieli serioase că proiectul de măsură ar garanta aplicarea corectă a prezentului regulament sau, dimpotrivă, că ar avea ca rezultat aplicarea incoerentă a regulamentului, Comisia, ținând cont de avizul emis de Comitetul european pentru protecția datelor în temeiul articolului 58 alineatul (7) sau al articolului 61 alineatul (2), poate adopta o decizie motivată care să oblige autoritatea de supraveghere să suspende adoptarea proiectului de măsură, în cazul în care se consideră că acest lucru este necesar pentru:

 

(a) a concilia pozițiile divergente ale autorității de supraveghere și Comitetului european pentru protecția datelor, în cazul în care acest lucru pare încă posibil sau

 

(b) a adopta o măsură în temeiul articolului 62 alineatul (1) litera (a).

 

(2) Comisia precizează durata suspendării, care nu depășește 12 luni.

 

(3) În timpul perioadei menționate la alineatul (2), autoritatea de supraveghere nu poate adopta proiectul de măsură.

 

Amendamentul  170

Propunere de regulament

Articolul 60 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 60a

 

Notificarea Parlamentului European și a Consiliului

 

Pe baza unui raport al președintelui Comitetului european pentru protecția datelor, Comisia informează Parlamentul și Consiliul la intervale regulate, cel puțin o dată la șase luni, cu privire la chestiunile tratate în cadrul mecanismului pentru asigurarea coerenței și prezintă concluziile Comisiei și ale Comitetului pentru protecția datelor în vederea asigurării coerenței implementării și a aplicării prezentului regulament.

Amendamentul  171

Propunere de regulament

Articolul 61 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) În circumstanțe excepționale, atunci când o autoritate de supraveghere consideră că există o necesitate urgentă de a acționa pentru a asigura protecția intereselor persoanelor vizate, în special când există pericolul ca exercitarea dreptului persoanei vizate ar putea fi considerabil împiedicată prin modificarea situației existente, pentru a evita inconveniente importante sau din alte motive, prin derogare de la procedura menționată la articolul 58, aceasta poate adopta de îndată măsuri provizorii cu o perioadă de valabilitate determinată. Autoritatea de supraveghere comunică fără întârziere aceste măsuri, motivate în mod corespunzător, Comitetului european pentru protecția datelor și Comisiei.

(1) În circumstanțe excepționale, atunci când o autoritate de supraveghere consideră că există o necesitate urgentă de a acționa pentru a asigura protecția intereselor persoanelor vizate, în special când există pericolul ca exercitarea dreptului persoanei vizate să poată fi considerabil împiedicată prin modificarea situației existente, pentru a evita inconveniente importante sau din alte motive, prin derogare de la procedura menționată la articolul 58a, aceasta poate adopta de îndată măsuri provizorii cu o perioadă de valabilitate determinată. Autoritatea de supraveghere comunică fără întârziere aceste măsuri, motivate în mod corespunzător, Comitetului european pentru protecția datelor și Comisiei.

Amendamentul  172

Propunere de regulament

Articolul 61 – alineatul 4

Textul propus de Comisie

Amendamentul

(4) Prin derogare de la articolul 58 alineatul (7), un aviz de urgență menționat la alineatele (2) și (3) din prezentul articol este adoptat în termen de două săptămâni cu majoritate simplă a membrilor Comitetului european pentru protecția datelor.

(4) Un aviz de urgență menționat la alineatele (2) și (3) din prezentul articol este adoptat în termen de două săptămâni cu majoritate simplă a membrilor Comitetului european pentru protecția datelor.

Amendamentul  173

Propunere de regulament

Articolul 62

Textul propus de Comisie

Amendamentul

Acte de punere în aplicare

Acte de punere în aplicare

(1) Comisia poate adopta acte de punere în aplicare pentru:

(1) Comisia poate adopta acte de punere în aplicare cu domeniu general de aplicare, după solicitarea avizului Comitetului european pentru protecția datelor, pentru:

(a) a decide privind aplicarea corectă a prezentului regulament, în conformitate cu obiectivele și cerințele acestuia în ceea ce privește aspectele comunicate de către autoritățile de supraveghere în temeiul articolului 58 sau 61, privind o chestiune în legătură cu care a fost adoptată o decizie motivată în temeiul articolului 60 alineatul (1), sau privind o chestiune în legătură cu care o autoritate de supraveghere nu prezintă un proiect de măsură și respectiva autoritate de supraveghere a indicat că nu intenționează să urmeze avizul Comisiei adoptat în temeiul articolului 59;

 

(b) a decide, în termenul menționat la articolul 59 alineatul (1), referitor la aplicabilitatea generală a proiectului de clauze standard în materie de protecție a datelor menționate la articolul 58 alineatul (2) litera (d);

(b) a decide referitor la aplicabilitatea generală a proiectului de clauze standard în materie de protecție a datelor menționate la articolul 42 alineatul (2) litera (d);

(c) a defini forma și procedurile pentru aplicarea mecanismului pentru asigurarea coerenței menționat în prezenta secțiune;

 

(d) a defini modalitățile de realizare a schimbului electronic de informații între autoritățile de supraveghere și între autoritățile de supraveghere și Comitetul european pentru protecția datelor, în special formularul standard menționat la articolul 58 alineatele (5), (6) și (8).

(d) a defini modalitățile de realizare a schimbului electronic de informații între autoritățile de supraveghere și între autoritățile de supraveghere și Comitetul european pentru protecția datelor, în special formularul standard menționat la articolul 58 alineatele (5), (6) și (8).

Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

 

(2) Din motive imperative de urgență pe deplin justificate legate de interesul persoanelor vizate în cazurile menționate la alineatul (1) litera (a), Comisia adoptă acte de punere în aplicare imediat aplicabile, în conformitate cu procedura menționată la articolul 87 alineatul (3). Aceste acte rămân în vigoare pentru o perioadă de cel mult 12 luni.

 

(3) Absența sau adoptarea unei măsuri în temeiul prezentei secțiuni nu aduce atingere altor măsuri adoptate de Comisie în temeiul tratatelor.

(3) Absența sau adoptarea unei măsuri în temeiul prezentei secțiuni nu aduce atingere altor măsuri adoptate de Comisie în temeiul tratatelor.

Amendamentul  174

Propunere de regulament

Articolul 63 – alineatul 2

Textul propus de Comisie

Amendamentul

(2) În cazul în care o autoritate de supraveghere nu prezintă un proiect de măsură pentru a fi examinat în cadrul mecanismului pentru asigurarea coerenței, încălcând articolul 58 alineatele (1)-(5), măsura autorității de supraveghere nu este valabilă din punct de vedere juridic și nici executorie.

(2) În cazul în care o autoritate de supraveghere nu prezintă un proiect de măsură pentru a fi examinat în cadrul mecanismului pentru asigurarea coerenței, încălcând articolul 58 alineatele (1) și (2) sau adoptă o măsură în pofida faptului că s-au indicat obiecții semnificative în temeiul articolului 58a alineatul (1), măsura autorității de supraveghere nu este valabilă din punct de vedere juridic și nici executorie.

Amendamentul  175

Propunere de regulament

Articolul 66

Textul propus de Comisie

Amendamentul

Sarcinile Comitetului european pentru protecția datelor

Sarcinile Comitetului european pentru protecția datelor

(1) Comitetul european pentru protecția datelor asigură aplicarea uniformă a prezentului regulament. În acest sens, din proprie inițiativă sau la solicitarea Comisiei, Comitetul european pentru protecția datelor are, în special, următoarele sarcini:

(1) Comitetul european pentru protecția datelor asigură aplicarea uniformă a prezentului regulament. În acest sens, din proprie inițiativă sau la solicitarea Parlamentului European, a Consiliului sau a Comisiei, Comitetul european pentru protecția datelor are, în special, următoarele sarcini:

(a) să ofere Comisiei consiliere cu privire la orice aspect legat de protecția datelor cu caracter personal în cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentului regulament;

(a) să ofere instituțiilor europene consiliere cu privire la orice aspect legat de protecția datelor cu caracter personal în cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentului regulament;

(b) să examineze, din proprie inițiativă sau la solicitarea unuia dintre membrii săi sau la cererea Comisiei, orice chestiune referitoare la punerea în aplicare a prezentului regulament și să emită orientări, recomandări și bune practici adresate autorităților de supraveghere pentru a încuraja aplicarea uniformă a prezentului regulament;

(b) să examineze, din proprie inițiativă sau la solicitarea unuia dintre membrii săi sau la cererea Parlamentului European, a Consiliului sau a Comisiei, orice chestiune referitoare la punerea în aplicare a prezentului regulament și să emită orientări, recomandări și bune practici adresate autorităților de supraveghere pentru a încuraja aplicarea uniformă a prezentului regulament, inclusiv orice chestiune referitoare la utilizarea competențelor de executare;

(c) să revizuiască aplicarea practică a orientărilor, recomandărilor și bunelor practici menționate la litera (b) și să raporteze periodic Comisiei cu privire la acestea;

(c) să revizuiască aplicarea practică a orientărilor, recomandărilor și bunelor practici menționate la litera (b) și să raporteze periodic Comisiei cu privire la acestea;

(d) să emită avize privind proiectele de decizii ale autorităților de supraveghere în conformitate cu mecanismul pentru asigurarea coerenței menționat la articolul 57;

(d) să emită avize privind proiectele de decizii ale autorităților de supraveghere în conformitate cu mecanismul pentru asigurarea coerenței menționat la articolul 57;

 

(da) să emită un aviz cu privire la autoritatea care ar trebui să fie autoritatea principală în temeiul articolului 54a alineatul (3);

(e) să promoveze cooperarea și schimbul eficient bilateral și multilateral de informații și practici între autoritățile de supraveghere;

(e) să promoveze cooperarea și schimbul eficient bilateral și multilateral de informații și practici între autoritățile de supraveghere, inclusiv coordonarea operațiunilor comune și a altor activități comune în cazul în care decide astfel la cererea uneia sau mai multor autorități de supraveghere;

(f) să promoveze programe comune de formare și să faciliteze schimburile de personal între autoritățile de supraveghere, precum și, după caz, cu autoritățile de supraveghere ale țărilor terțe sau organizațiilor internaționale;

(f) să promoveze programe comune de formare și să faciliteze schimburile de personal între autoritățile de supraveghere, precum și, după caz, cu autoritățile de supraveghere ale țărilor terțe sau organizațiilor internaționale;

(g) să promoveze schimbul de cunoștințe și de documente privind legislația și practicile în materie de protecție a datelor cu autoritățile de supraveghere a protecției datelor la nivel mondial.

(g) să promoveze schimbul de cunoștințe și de documente privind legislația și practicile în materie de protecție a datelor cu autoritățile de supraveghere a protecției datelor la nivel mondial.

 

(ga) să prezinte un aviz Comisiei la pregătirea actelor delegate și de punere în aplicare în temeiul prezentului regulament;

 

(gb) să emită un aviz privind codurile de conduită elaborate la nivelul Uniunii în temeiul articolului 38 alineatul (4);

 

(gc) să emită un aviz privind criteriile și cerințele aplicabile mecanismelor de certificare în domeniul protecției datelor în temeiul articolului 39 alineatul (3).

 

(gd) să păstreze un registru electronic public privind certificatele valabile și nevalabile în temeiul articolului 39 alineatul (1) litera h;

 

(ge) să ofere asistență autorităților naționale de supraveghere, la cererea acestora;

 

(gf) să elaboreze și să publice o listă de operațiuni de prelucrare care fac obiectul unei consultări prealabile în temeiul articolului 34;

 

(gg) să păstreze un registru de sancțiuni impuse de către autoritățile de supraveghere competente operatorilor sau persoanelor împuternicite de către operatori;

(2) În situațiile în care Comisia consultă Comitetul european pentru protecția datelor, aceasta poate stabili un termen în care Comitetul european pentru protecția datelor trebuie să furnizeze avizul său, ținând cont de caracterul urgent al chestiunii.

(2) În situațiile în care Parlamentul European, Consiliul sau Comisia consultă Comitetul european pentru protecția datelor, aceștia pot stabili un termen în care Comitetul european pentru protecția datelor trebuie să furnizeze avizul său, ținând cont de caracterul urgent al chestiunii.

(3) Comitetul european pentru protecția datelor își transmite avizele, orientările, recomandările și bunele practici Comisiei și comitetului menționat la articolul 87 și le publică.

(3) Comitetul european pentru protecția datelor își transmite avizele, orientările, recomandările și bunele practici Parlamentului European, Consiliului și Comisiei, precum și comitetului menționat la articolul 87 și le publică.

(4) Comisia informează Comitetul european pentru protecția datelor cu privire la măsurile pe care le-a luat în urma avizelor, orientărilor, recomandărilor și bunelor practici emise de Comitetul european pentru protecția datelor.

(4) Comisia informează Comitetul european pentru protecția datelor cu privire la măsurile pe care le-a luat în urma avizelor, orientărilor, recomandărilor și bunelor practici emise de Comitetul european pentru protecția datelor.

 

(4a) Dacă este cazul, Comitetul european pentru protecția datelor consultă părțile interesate și le oferă posibilitatea de a face observații într-un termen rezonabil. Fără a aduce atingere dispozițiilor articolului 72, Comitetul european pentru protecția datelor publică rezultatele procedurii de consultare.

 

(4b) Comitetul european pentru protecția datelor are sarcina de a elabora orientări, recomandări și bune practici în conformitate cu alineatul (1) litera (b) în vederea stabilirii de proceduri comune privind primirea și cercetarea informațiilor care conțin acuzații de prelucrare ilegală, precum și a protejării confidențialității și a surselor de informații primite.

Amendamentul  176

Propunere de regulament

Articolul 67 – alineatul 1

Textul propus de Comisie

Amendamentul

1.  Comitetul european pentru protecția datelor prezintă Comisiei periodic și în timp util rezultatele activităților sale. Acesta întocmește un raport anual privind situația referitoare la protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal în Uniune și în țările terțe.

Raportul include analiza aplicării practice a orientărilor, recomandărilor și bunelor practici menționate la articolul 66 alineatul (1) litera (c).

1.  Comitetul european pentru protecția datelor prezintă Parlamentului European, Consiliului și Comisiei periodic și în timp util rezultatele activităților sale. Acesta întocmește un raport cel puțin o dată la doi ani privind situația referitoare la protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal în Uniune și în țările terțe.

Raportul include analiza aplicării practice a orientărilor, recomandărilor și bunelor practici menționate la articolul 66 alineatul (1) litera (c).

Amendamentul  177

Propunere de regulament

Articolul 68 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Comitetul european pentru protecția datelor adoptă decizii prin majoritate simplă a membrilor săi.

(1) Comitetul european pentru protecția datelor adoptă decizii prin majoritate simplă a membrilor săi, cu excepția cazului când se prevede altfel în regulamentul său de procedură.

Amendamentul  178

Propunere de regulament

Articolul 69 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Comitetul european pentru protecția datelor alege un președinte și doi vicepreședinți din rândul membrilor săi. Unul dintre vicepreședinți este Autoritatea Europeană pentru Protecția Datelor, cu excepția cazului în care aceasta a fost aleasă președinte.

(1) Comitetul european pentru protecția datelor alege un președinte și cel puțin doi vicepreședinți din rândul membrilor săi.

Amendamentul  179

Propunere de regulament

Articolul 69 – alineatul 2 a (nou)

Textul propus de Comisie

Amendamentul

 

(2a) Funcția de președinte este o funcție cu normă întreagă.

Amendamentul  180

Propunere de regulament

Articolul 71 – alineatul 2

Textul propus de Comisie

Amendamentul

(2) Secretariatul oferă, sub conducerea președintelui, sprijin analitic, administrativ și logistic Comitetului european pentru protecția datelor.

(2) Secretariatul oferă, sub conducerea președintelui, sprijin analitic, juridic, administrativ și logistic Comitetului european pentru protecția datelor.

Amendamentul  181

Propunere de regulament

Articolul 72 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Discuțiile din cadrul Comitetului european pentru protecția datelor sunt confidențiale.

(1) Discuțiile din cadrul Comitetului european pentru protecția datelor pot fi confidențiale, dacă este necesar, cu excepția cazului când se prevede altfel în regulamentul său de procedură. Ordinile de zi ale reuniunilor Comitetului european pentru protecția datelor sunt publicate.

Amendamentul  182

Propunere de regulament

Articolul 73

Textul propus de Comisie

Amendamentul

Dreptul de a depune o plângere la o autoritate de supraveghere

Dreptul de a depune o plângere la o autoritate de supraveghere

(1) Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru, în cazul în care consideră că prelucrarea datelor sale cu caracter personal nu respectă prezentul regulament.

(1) Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare și mecanismului pentru asigurarea coerenței, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru, în cazul în care consideră că prelucrarea datelor sale cu caracter personal nu respectă prezentul regulament.

(2) Orice organism, organizație sau asociație a cărei activitate urmărește protecția drepturilor și intereselor persoanelor vizate cu privire la protecția datelor cu caracter personal ale acestora și care a fost constituită în mod adecvat, în conformitate cu legislația unui stat membru, are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru în numele uneia sau mai multor persoane vizate, în cazul în care consideră că drepturile de care persoanele vizate beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor cu caracter personal.

(2) Orice organism, organizație sau asociație care acționează în interes public și care a fost constituită în mod adecvat, în conformitate cu legislația unui stat membru, are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru în numele uneia sau mai multor persoane vizate, în cazul în care consideră că drepturile de care persoanele vizate beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor cu caracter personal.

(3) Independent de o plângere depusă de o persoană vizată, orice organism, organizație sau asociație menționată la alineatul (2) are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru, în cazul în care consideră că a avut loc o încălcare a securității datelor cu caracter personal.

(3) Independent de o plângere depusă de o persoană vizată, orice organism, organizație sau asociație menționată la alineatul (2) are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru, în cazul în care consideră că a avut loc o încălcare a prezentului regulament.

Amendamentul  183

Propunere de regulament

Articolul 74

Textul propus de Comisie

Amendamentul

Dreptul la o cale de atac judiciară împotriva unei autorități de supraveghere

Dreptul la o cale de atac judiciară împotriva unei autorități de supraveghere

(1) Orice persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară împotriva deciziilor unei autorități de supraveghere referitoare la persoana respectivă.

(1) Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, orice persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară împotriva deciziilor unei autorități de supraveghere referitoare la persoana respectivă.

(2) Orice persoană vizată are dreptul de a exercita o cale de atac judiciară care să oblige autoritatea de supraveghere să dea curs unei plângeri, în absența unei decizii necesare pentru protejarea drepturilor sale sau în cazul în care autoritatea de supraveghere nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii în temeiul articolului 52 alineatul (1) litera (b).

(2) Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, orice persoană vizată are dreptul de a exercita o cale de atac judiciară care să oblige autoritatea de supraveghere să dea curs unei plângeri, în absența unei decizii necesare pentru protejarea drepturilor sale sau în cazul în care autoritatea de supraveghere nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii în temeiul articolului 52 alineatul (1) litera (b).

(3) Acțiunile introduse împotriva unei autorități de supraveghere sunt aduse în fața instanțelor din statul membru în care este stabilită autoritatea de supraveghere.

(3) Acțiunile introduse împotriva unei autorități de supraveghere sunt aduse în fața instanțelor din statul membru în care este stabilită autoritatea de supraveghere.

(4) O persoană vizată la care se referă o decizie a unei autorități de supraveghere dintr-un alt stat membru decât cel în care persoana vizată își are reședința obișnuită poate solicita autorității de supraveghere din statul membru în care își are reședința obișnuită să introducă o acțiune în numele său împotriva autorității de supraveghere competente din celalalt stat membru.

(4) Fără a aduce atingere mecanismului pentru asigurarea coerenței, o persoană vizată la care se referă o decizie a unei autorități de supraveghere dintr-un alt stat membru decât cel în care persoana vizată își are reședința obișnuită poate solicita autorității de supraveghere din statul membru în care își are reședința obișnuită să introducă o acțiune în numele său împotriva autorității de supraveghere competente din celalalt stat membru.

(5) Statele membre execută hotărârile definitive ale instanțelor menționate în prezentul articol.

(5) Statele membre execută hotărârile definitive ale instanțelor menționate în prezentul articol.

Amendamentul  184

Propunere de regulament

Articolul 75 – alineatul 2

Textul propus de Comisie

Amendamentul

(2) Acțiunile introduse împotriva unui operator sau unei persoane împuternicite de operator sunt prezentate în fața instanțelor din statul membru unde operatorul sau persoana împuternicită de operator are un sediu. Alternativ, o astfel de acțiune poate fi intentată în fața instanțelor din statul membru în care persoana vizată își are reședința obișnuită, cu excepția cazului în care operatorul este o autoritate publică care acționează în exercitarea competențelor sale publice.

(2) Acțiunile introduse împotriva unui operator sau unei persoane împuternicite de operator sunt prezentate în fața instanțelor din statul membru unde operatorul sau persoana împuternicită de operator are un sediu. Alternativ, o astfel de acțiune poate fi intentată în fața instanțelor din statul membru în care persoana vizată își are reședința obișnuită, cu excepția cazului în care operatorul este o autoritate publică a Uniunii sau a unui stat membru care acționează în exercitarea competențelor sale publice.

Amendamentul  185

Propunere de regulament

Articolul 76 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Orice organism, organizație sau asociație menționată la articolul 73 alineatul (2) are dreptul de a exercita drepturile menționate la articolele 74 și 75 în numele uneia sau mai multor persoane vizate.

(1) Orice organism, organizație sau asociație menționată la articolul 73 alineatul (2) are dreptul de a exercita drepturile menționate la articolele 74, 75 și 77 dacă este împuternicit de una sau mai multe persoane vizate.

Amendamentul  186

Propunere de regulament

Articolul 77 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Orice persoană care a suferit prejudicii ca urmare a unei operațiuni ilegale de prelucrare sau a unei acțiuni incompatibile cu dispozițiile prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.

(1) Orice persoană care a suferit prejudicii, inclusiv de natură nefinanciară, ca urmare a unei operațiuni ilegale de prelucrare sau a unei acțiuni incompatibile cu dispozițiile prezentului regulament are dreptul să solicite despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.

Amendamentul  187

Propunere de regulament

Articolul 77 – alineatul 2

Textul propus de Comisie

Amendamentul

(2) În cazul în care la prelucrare au participat mai muți operatori sau persoane împuternicite de operator, fiecare operator sau persoană împuternicită de acesta sunt responsabile în mod solidar pentru întreaga valoare a prejudiciului.

(2) În cazul în care la prelucrare au participat mai mulți operatori sau persoane împuternicite de operator, fiecare dintre operatorii sau persoanele împuternicite respective sunt responsabile în mod solidar pentru întreaga valoare a prejudiciului, cu excepția cazului în care au încheiat un acord scris specific de stabilire a responsabilităților în temeiul articolului 24.

Amendamentul  188

Propunere de regulament

Articolul 79

Textul propus de Comisie

Amendamentul

Sancțiuni administrative

Sancțiuni administrative

(1) Fiecare autoritate de supraveghere este abilitată să impună sancțiuni administrative în conformitate cu prezentul articol.

 

(1) Fiecare autoritate de supraveghere este abilitată să impună sancțiuni administrative în conformitate cu prezentul articol. Autoritățile de supraveghere cooperează între ele în conformitate cu articolele 46 și 57 pentru a garanta un nivel armonizat al sancțiunilor în cadrul Uniunii.

(2) În fiecare caz individual, sancțiunea administrativă trebuie să fie eficace, proporțională și disuasivă. Valoarea amenzii administrative este fixată în funcție de natura, gravitatea și durata încălcării, de faptul că încălcarea a fost comisă intenționat sau din neglijență, de gradul de responsabilitate a persoanei fizice sau juridice și de încălcările comise anterior de către această persoană, de măsurile și procedurile tehnice și organizatorice puse în aplicare în temeiul articolului 23 și de gradul de cooperare cu autoritatea de supraveghere în vederea remedierii încălcării.

(2) În fiecare caz individual, sancțiunea administrativă trebuie să fie eficace, proporțională și disuasivă.

 

(2a) Autoritatea de supraveghere impune oricărei persoane care nu respectă obligațiile prevăzute în prezentul regulament cel puțin una dintre următoarele sancțiuni:

 

(a) un avertisment scris în cazul primei încălcări neintenționate;

 

(b) audituri regulate și periodice privind protecția datelor;

 

(c) o amendă de până la 100 000 000 EUR sau de până la 5% din cifra de afaceri realizată la nivel mondial în cazul unei întreprinderi, optându-se pentru valoarea cea mai mare.

 

(2b) În cazul în care operatorul sau persoana împuternicită de către operator deține un „sigiliul european privind protecția datelor” valabil conform articolului 39, se impune o amendă în temeiul alineatului (2a) litera (c) numai în caz de neconformitate intenționată sau din neglijență.

 

(2c) Sancțiunea administrativă ține cont de următorii factori:

 

(a) natura, gravitatea și durata neconformității,

 

(b) faptul că încălcarea a fost comisă intenționat sau din neglijență,

 

(c) gradul de responsabilitate a persoanei fizice sau juridice și încălcările comise anterior de către această persoană;

 

(d) natura repetitivă a încălcării,

 

(e) gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea și a atenua posibilele efecte negative ale încălcării,

 

(f) categoriile specifice de date cu caracter personal afectate de încălcare,

 

(g) amploarea prejudiciilor, inclusiv a prejudiciilor de natură nefinanciară, suferite de persoanele vizate,

 

(h) acțiunile întreprinse de operator sau de persoana împuternicită de către operator pentru a reduce prejudiciul suferit de persoanele vizate;

 

 

(i) orice beneficii financiare plănuite sau realizate, sau pierderile evitate, în mod direct sau indirect din cauza încălcării,

 

(j) amploarea măsurilor și procedurilor tehnice și organizatorice puse în aplicare în conformitate cu:

 

(i) articolul 23 - Protecția datelor începând cu momentul conceperii și protecția implicită a datelor;

 

(ii) articolul 30 – Securitatea prelucrării;

 

(iii) articolul 33 – Evaluarea impactului privind protecția datelor;

 

(iv) articolul 33a – Analiza conformității privind protecția datelor;

 

(v)articolul 35 - Desemnarea responsabilului cu protecția datelor;

 

(k) refuzul de a coopera sau împiedicarea inspecțiilor, a auditurilor și a controalelor efectuate de autoritatea de supraveghere în temeiul articolului 53;

 

(l) orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului.

(3) În cazul primei încălcări neintenționate a dispozițiilor prezentului regulament, se poate transmite o avertizare în scris, fără impunerea vreunei sancțiuni, atunci când:

 

(a) o persoană fizică prelucrează date cu caracter personal fără vreun interes comercial; sau

 

(b) o întreprindere sau o organizație cu mai puțin de 250 de angajați prelucrează date cu caracter personal doar ca o activitate auxiliară activităților sale principale.

 

(4) Autoritatea de supraveghere impune o amendă de până la 250.000 EUR sau, în cazul unei întreprinderi, de până la 0,5 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență:

 

(a) nu prevede mecanisme care să permită persoanelor vizate să formuleze solicitări sau nu răspunde prompt sau nu în forma adecvată persoanelor vizate, în temeiul articolului 12 alineatele (1) și (2);

 

(b) percepe o taxă pentru informații sau pentru răspunsurile la solicitările persoanelor vizate, încălcând articolul 12 alineatul (4).

 

(5) Autoritatea de supraveghere impune o amendă de până la 500 000 EUR sau, în cazul unei întreprinderi, de până la 1 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență:

 

(a) nu furnizează persoanei vizate informațiile sau furnizează informații incomplete sau nu furnizează informațiile într-un mod suficient de transparent, în conformitate cu articolul 11, articolul 12 alineatul (3) și articolul 14;

 

(b) nu oferă acces persoanei vizate sau nu rectifică datele cu caracter personal în temeiul articolelor 15 și 16 sau nu comunică unui destinatar informațiile relevante, în temeiul articolului 13;

 

(c) nu respectă „dreptul de a fi uitat” ori dreptul la ștergere sau nu instituie mecanisme pentru a asigura că termenele sunt respectate sau nu ia toate măsurile necesare pentru a informa părțile terțe că o persoană vizată solicită ștergerea tuturor linkurilor către datele sale cu caracter personal, sau a tuturor copiilor sau a reproducerilor acestora, în temeiul articolului 17;

 

(d) nu furnizează o copie a datelor cu caracter personal în format electronic sau împiedică persoana vizată să transmită datele cu caracter personal către o altă aplicație, încălcând articolul 18;

 

(e) nu definește sau nu definește suficient responsabilitățile respective cu operatorii asociați în temeiul articolului 24;

 

(f) nu păstrează sau nu păstrează suficient documentația în temeiul articolului 28, articolului 31 alineatul (4) și al articolului 44 alineatul (3);

 

(g) nu respectă, în cazurile în care nu sunt implicate categorii speciale de date, în temeiul articolelor 80, 82 și 83, normele privind libertatea de exprimare sau normele privind prelucrarea în contextul ocupării unui loc de muncă sau condițiile pentru prelucrarea datelor în scopuri de cercetare istorică, statistică și științifică.

 

(6) Autoritatea de supraveghere impune o amendă de până la 1 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență:

 

(a) prelucrează datele cu caracter personal fără niciun temei juridic sau fără un temei juridic suficient pentru prelucrare sau nu respectă condițiile privind consimțământul, în temeiul articolelor 6, 7 și 8;

 

(b) prelucrează categorii speciale de date, încălcând articolele 9 și 81;

 

(c) nu respectă o opoziție sau nu se conformează cerinței în temeiul articolului 19;

 

(d) nu respectă condițiile legate de măsurile bazate pe crearea de profiluri în temeiul articolului 20;

 

(e) nu adoptă norme interne sau nu pune în aplicare măsuri corespunzătoare pentru a asigura și a demonstra conformitatea în temeiul articolelor 22, 23 și 30;

 

(f) nu desemnează un reprezentant în temeiul articolului 25;

 

(g) prelucrează date cu caracter personal sau dă instrucțiuni de prelucrare a datelor cu caracter personal încălcând obligațiile privind prelucrarea în numele unui operator în temeiul articolelor 26 și 27;

 

(h) nu semnalează sau nu notifică o încălcare a securității datelor cu caracter personal sau nu notifică la timp ori complet autorității de supraveghere sau persoanei vizate încălcarea securității datelor, în temeiul articolelor 31 și 32;

 

(i) nu efectuează o evaluare a impactului privind protecția datelor sau prelucrează date cu caracter personal fără autorizare prealabilă sau consultarea prealabilă a autorității de supraveghere în temeiul articolelor 33 și 34;

 

(j) nu desemnează un responsabil cu protecția datelor sau nu asigură condițiile pentru îndeplinirea sarcinilor în temeiul articolelor 35, 36 și 37;

 

(k) utilizează abuziv sigiliile și mărcile din domeniul protecției datelor, în sensul articolului 39;

 

(l) efectuează sau dă instrucțiuni pentru transferarea de date către o țară terță sau o organizație internațională care nu este autorizată printr-o decizie privind caracterul adecvat sau prin garanții adecvate sau printr-o derogare în temeiul articolelor 40-44;

 

(m) nu respectă un ordin sau o interdicție temporară sau definitivă privind prelucrarea sau suspendarea fluxurilor de date emisă de autoritatea de supraveghere, în temeiul articolului 53 alineatul (1);

 

(n) nu respectă obligațiile de a oferi asistență sau de a răspunde sau de a furniza informațiile relevante autorității de supraveghere sau de a da acesteia acces la clădirile sale, în temeiul articolului 28 alineatul (3), al articolului 29, al articolului 34 alineatul (6) și al articolului 53 alineatul (2);

 

(o) nu respectă normele pentru garantarea secretului profesional, în temeiul articolului 84.

 

(7) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul actualizării valorilor amenzilor administrative menționate la alineatele (4), (5) și (6), ținând seama de criteriile menționate la alineatul (2).

(7) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul actualizării valorilor absolute ale amenzilor administrative menționate la alineatul (2a), ținând seama de criteriile și factorii menționați la alineatele (2) și (2c).

Amendamentul  189

Propunere de regulament

Articolul 80 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) Statele membre prevăd exonerări și derogări de la dispozițiile privind principiile generale de la capitolul II, privind drepturile persoanei vizate de la capitolul III, privind operatorul și persoana împuternicită de către operator de la capitolul IV, privind transferul datelor cu caracter personal către țări terțe și organizații internaționale de la capitolul V, privind autoritățile de supraveghere independente de la capitolul VI și privind cooperarea și coerența de la capitolul VII, pentru prelucrarea datelor cu caracter personal efectuată numai în scopuri jurnalistice, artistice sau literare, pentru a stabili un echilibru între dreptul la protecția datelor cu caracter personal și normele care reglementează libertatea de exprimare.

(1) Statele membre prevăd exonerări și derogări de la dispozițiile privind principiile generale de la capitolul II, privind drepturile persoanei vizate de la capitolul III, privind operatorul și persoana împuternicită de către operator de la capitolul IV, privind transferul datelor cu caracter personal către țări terțe și organizații internaționale de la capitolul V, privind autoritățile de supraveghere independente de la capitolul VI, privind cooperarea și coerența de la capitolul VII și situațiile specifice de prelucrare a datelor din Capitolul IX ori de câte ori este necesar pentru a stabili un echilibru între dreptul la protecția datelor cu caracter personal și normele care reglementează libertatea de exprimare în conformitate cu Carta drepturilor fundamentale a Uniunii Europene.

Amendamentul  190

Propunere de regulament

Articolul 80 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 80a

 

Accesul la documente

 

(1) Datele cu caracter personal din documentele deținute de o autoritate publică sau de un organism public pot fi divulgate de către această autoritate sau acest organism în conformitate cu legislația Uniunii sau a statului membru privind accesul public la documentele oficiale, care stabilește un echilibru între dreptul la protecția datelor cu caracter personal și principiul accesului public la documente oficiale.

 

(2) Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice modificare ulterioară care le afectează.

Amendamentul  191

Propunere de regulament

Articolul 81

Textul propus de Comisie

Amendamentul

Prelucrarea datelor cu caracter personal privind sănătatea

Prelucrarea datelor cu caracter personal privind sănătatea

(1) În limitele prevăzute de prezentul regulament și în conformitate cu articolul 9 alineatul (2), litera (h), prelucrarea datelor cu caracter personal privind sănătatea trebuie să se efectueze în baza legislației Uniunii sau a legislației statului membru care prevăd măsuri corespunzătoare și specifice pentru garantarea intereselor legitime ale persoanei vizate și care sunt necesare:

(1) În conformitate cu dispozițiile prezentului regulament, în special cu articolul 9 alineatul (2) litera (h), prelucrarea datelor cu caracter personal privind sănătatea trebuie să se efectueze în baza legislației Uniunii sau a legislației statului membru care prevăd măsuri corespunzătoare, coerente și specifice pentru garantarea intereselor și a drepturilor fundamentale ale persoanei vizate, în măsura în care acestea sunt necesare și proporționale, iar efectele lor pot fi prevăzute de către persoanele vizate:

(a) în scopuri legate de medicina preventivă sau a muncii, stabilirea diagnosticului, administrarea unor îngrijiri medicale sau a unui tratament sau de gestionarea serviciilor medicale, precum și în cazul în care datele respective sunt prelucrate de un cadru medical supus obligației de a respecta secretul profesional sau de o altă persoană supusă, de asemenea, unei obligații echivalente în ceea ce privește confidențialitatea în temeiul legislației statului membru ori al normelor stabilite de autoritățile naționale competente; sau

(a) în scopuri legate de medicina preventivă sau a muncii, stabilirea diagnosticului, administrarea unor îngrijiri medicale sau a unui tratament sau de gestionarea serviciilor medicale, precum și în cazul în care datele respective sunt prelucrate de un cadru medical supus obligației de a respecta secretul profesional sau de o altă persoană supusă, de asemenea, unei obligații echivalente în ceea ce privește confidențialitatea în temeiul legislației statului membru ori al normelor stabilite de autoritățile naționale competente; sau

(b) din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță, inter alia pentru medicamente sau aparatură medicală; sau

(b) din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță, inter alia pentru medicamente sau aparatură medicală sau când prelucrarea acestor date este efectuată de o persoană care face obiectul obligației de confidențialitate; sau

(c) din alte motive de interes public în domenii precum protecția socială, în special în scopul asigurării calității și eficienței din punctul de vedere al costurilor a procedurilor utilizate pentru soluționarea cererilor de prestații și servicii în sistemul asigurărilor de sănătate.

(c) din alte motive de interes public în domenii precum protecția socială, în special în scopul asigurării calității și eficienței din punctul de vedere al costurilor a procedurilor utilizate pentru soluționarea cererilor de prestații și servicii în sistemul asigurărilor de sănătate și furnizarea de servicii de sănătate. Prelucrarea datelor cu caracter personal privind sănătatea din motive de interes general nu ar trebui să ducă la prelucrarea datelor cu caracter personal în alte scopuri, cu excepția cazului când există consimțământul persoanei vizate sau în temeiul dreptului Uniunii sau al unui stat membru.

 

(1a) În cazul în care scopurile menționate la alineatul (1) literele (a)-(c) pot fi realizate fără a utiliza date cu caracter personal, astfel de date nu sunt utilizate în aceste scopuri, cu excepția cazului când există consimțământul persoanei vizate sau în temeiul dreptului unui stat membru.

 

(1b) În cazul în care este necesar consimțământul persoanei vizate pentru prelucrarea datelor medicale exclusiv în scopul cercetării științifice privind sănătatea publică, consimțământul poate fi acordat pentru una sau mai multe cercetări specifice și similare. Totuși, persoana vizată își poate retrage consimțământul în orice moment.

 

(1c) Pentru acordarea consimțământului de a participa în activități de cercetare științifică în cadrul trialurilor clinice, se aplică dispozițiile relevante ale Directivei 2001/20/CE a Parlamentului European și a Consiliului1.

(2) Prelucrarea datelor cu caracter personal privind sănătatea, care este necesară în scopuri de cercetare istorică, statistică sau științifică, cum ar fi registrele de pacienți instituite pentru îmbunătățirea stabilirii diagnosticului și diferențierea între tipuri similare de boli, precum și pentru pregătirea de studii pentru terapii, face obiectul condițiilor și măsurilor de garantare prevăzute la articolul 83.

(2) Prelucrarea datelor cu caracter personal privind sănătatea, care este necesară în scopuri de cercetare istorică, statistică sau științifică, este permisă doar cu consimțământul persoanei vizate și face obiectul condițiilor și măsurilor de garantare prevăzute la articolul 83.

 

(2a) Legislația statelor membre poate prevedea excepții la cerința consimțământului în caz de cercetare, menționată la alineatul (2), în ceea ce privește cercetarea care servește unui interes public ridicat, dacă cercetarea respectivă nu poate fi efectuată altfel. Datele în cauză sunt anonimizate sau, dacă acest lucru nu este posibil din motive legate de cercetare, pseudonimizate, în conformitate cu cele mai înalte standarde tehnice, și se iau toate măsurile necesare pentru a preveni reidentificarea nejustificată a persoanelor vizate. Totuși, în orice moment, persoana vizată are dreptul de a se opune în conformitate cu articolul 19.

(3) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul precizării în continuare a altor motive de interes public în domeniul sănătății publice, astfel cum se menționează la alineatul (1) litera (b), precum și a unor criterii și cerințe referitoare la garanții în ceea ce privește prelucrarea datelor cu caracter personal în scopurile menționate la alineatul (1).

(3) După solicitarea avizului Comitetului european pentru protecția datelor, Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul de a preciza mai mult noțiunea de interes public în domeniul sănătății publice, astfel cum se menționează la alineatul (1) litera (b), precum și de interes public ridicat în domeniul cercetării astfel cum se menționează la alineatul (2a).

 

(3a) Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice modificare ulterioară care le afectează.

 

1 Directiva 2001/20/CE a Parlamentului European și a Consiliului din 4 aprilie 2001 de apropiere a actelor cu putere de lege și a actelor administrative ale statelor membre privind aplicarea bunelor practici clinice în cazul efectuării de studii clinice pentru evaluarea produselor medicamentoase de uz uman (JO L 121, 1.5.2001, p. 34)."

Amendamentul  192

Propunere de regulament

Articolul 82

Textul propus de Comisie

Amendamentul

Prelucrarea în contextul ocupării unui loc de muncă

Standarde minime pentru prelucrarea datelor în contextul ocupării unui loc de muncă

(1) În limitele prezentului regulament, statele membre pot adopta pe cale legislativă norme specifice care reglementează prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă, în special în scopul recrutării, îndeplinirii prevederilor contractului de muncă, inclusiv descărcarea de obligațiile stabilite prin lege sau prin acorduri colective, al gestionării, planificării și organizării muncii, al asigurării sănătății și securității la locul de muncă, precum și în scopul exercitării și beneficierii, în mod individual sau colectiv, de drepturile și beneficiile legate de ocuparea unui loc de muncă, precum și pentru încetarea raporturilor de muncă.

(1) În conformitate cu prevederile prezentului regulament și ținând cont de principiul proporționalității, statele membre pot adopta prin dispoziții legislative norme specifice care reglementează prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă, în special în scopul, dar nu numai, recrutării și al cererilor de angajare în cadrul grupului de întreprinderi, al îndeplinirii prevederilor contractului de muncă, inclusiv descărcarea de obligațiile stabilite prin lege și prin acorduri colective, în conformitate cu legislația și practica națională, al gestionării, planificării și organizării muncii, al asigurării sănătății și securității la locul de muncă, precum și în scopul exercitării și beneficierii, în mod individual sau colectiv, de drepturile și beneficiile legate de ocuparea unui loc de muncă, precum și pentru încetarea raporturilor de muncă. Statele membre pot permite acordurilor colective să precizeze în detaliu dispozițiile stabilite în prezentul articol.

 

(1a) Scopul prelucrării unor astfel de date trebuie să fie legat de motivul pentru care au fost colectate și să se realizeze strict în contextul ocupării unui loc de muncă. Crearea de profiluri sau utilizarea pentru scopuri auxiliare nu este permisă.

 

(1b) Consimțământul unui angajat nu reprezintă un temei juridic pentru prelucrarea datelor de către angajator atunci când consimțământul nu a fost acordat în mod liber.

 

(1c) Fără a aduce atingere celorlalte prevederi ale prezentului regulament, dispozițiile legislative naționale menționate la alineatul (1) includ cel puțin următoarele standarde minime:

 

 

(a) prelucrarea datelor unui angajat fără înștiințarea acestuia nu este permisă. Fără a aduce atingere primei teze, statele membre pot permite o astfel de practică prin lege, stabilind termene potrivite de ștergere a datelor, dacă există indicii reale ce trebuie documentate potrivit cărora angajatul a comis o infracțiune sau o altă încălcare gravă a obligațiilor sale în cadrul raportului de muncă, dacă colectarea datelor este necesară în vederea soluționării cazului, iar natura și amploarea colectării sunt necesare și corespund scopului urmărit. Sfera privată și intimă a angajatului trebuie respectată în permanență. Investigația este realizată de autoritatea competentă;

 

(b) este interzisă supravegherea audio și/sau video deschisă prin mijloace electronice a părților întreprinderii inaccesibile publicului, care sunt utilizate de angajați în primul rând pentru activități private, mai ales toaletele, vestiarele, încăperile pentru odihnă și dormitoarele. Supravegherea ascunsă este în orice caz interzisă;

 

(c) dacă întreprinderile sau autoritățile colectează sau prelucrează date cu caracter personal în cadrul examinărilor medicale și/sau al testelor de aptitudini, acestea trebuie să explice înainte candidatului sau angajatului în ce scop sunt utilizate datele respective și să se asigure că ulterior îi vor fi comunicate împreună cu rezultatele și, la cerere, vor fi explicate. Colectarea datelor pentru teste și analize genetice este în principiu interzisă;

 

(d) acordurile colective pot reglementa dacă și în ce măsură utilizarea telefonului, a e-mailului, a internetului și a altor servicii de telecomunicații este permisă și în scopuri private. În cazul în care nu există reglementare printr-un contract colectiv, angajatorul ajunge la un acord direct cu angajatul. Dacă utilizarea privată este permisă, se admite prelucrarea datelor privind traficul, în special pentru a garanta securitatea datelor, pentru a asigura buna funcționare a rețelelor și serviciilor de telecomunicații și în vederea facturării.

 

Fără a aduce atingere celei de a treia teze, statele membre pot permite o astfel de practică prin lege, cu garantarea unor termene potrivite de ștergere a datelor, dacă există indicii reale ce trebuie documentate potrivit cărora angajatul a comis o infracțiune sau o altă încălcare gravă a obligațiilor sale în cadrul raportului de muncă, dacă colectarea datelor este necesară în vederea soluționării cazului, iar natura și amploarea colectării sunt necesare și corespund scopului urmărit. Sfera privată și intimă a angajatului trebuie respectată în permanență. Investigația este realizată de autoritatea competentă;

 

(e) datele cu caracter personal ale angajaților, și în special datele sensibile, cum ar fi orientarea politică, apartenența și activitățile sindicale nu pot fi în niciun caz utilizate pentru a înscrie angajații pe așa-numite „liste negre”, a efectua verificări asupra lor sau a-i împiedica să-și găsească un loc de muncă în viitor. Sunt interzise prelucrarea, utilizarea în contextul ocupării unui loc de muncă, redactarea și transmiterea de liste negre cu angajați sau alte forme de discriminare. Statele membre efectuează controale și adoptă sancțiuni adecvate în conformitate cu articolul 79 alineatul (6) pentru a asigura aplicarea efectivă a acestei dispoziții.

 

1d. Transmiterea și prelucrarea datelor cu caracter personal ale angajaților între întreprinderi distincte din punct de vedere juridic în cadrul unui grup de întreprinderi și profesioniștii care asigură consiliere juridică și fiscală este permisă, în măsura în care este relevantă pentru desfășurarea activității întreprinderii și pentru realizarea demersurilor și procedurilor administrative specifice și nu contravine intereselor și drepturilor fundamentale demne de a fi protejate ale persoanei vizate. Dacă datele angajaților sunt transmise într-o țară terță și/sau către o organizație internațională, se aplică capitolul V.

 

(2) Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioară care le afectează.

(2) Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatelor (1) și (1b), până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioară care le afectează.

(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor aplicabile în cazul garanțiilor în ceea ce privește prelucrarea datelor cu caracter personal în scopurile menționate la alineatul (1).

(3) După solicitarea unui aviz emis de Comitetul european pentru protecția datelor, Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor aplicabile în cazul garanțiilor în ceea ce privește prelucrarea datelor cu caracter personal în scopurile menționate la alineatul (1).

Amendamentul  193

Propunere de regulament

Articolul 82 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 82a

 

Prelucrarea în contextul securității sociale

 

(1) Statele membre pot, în conformitate cu dispozițiile prezentului regulament, adopta norme legislative specifice care să precizeze condițiile pentru prelucrarea datelor cu caracter personal de către instituțiile și departamentele lor publice în contextul securității sociale dacă prelucrarea se realizează în interes public.

 

(2) Fiecare stat membru informează Comisia cu privire la dispozițiile pe care le adoptă în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice modificare ulterioară care le afectează.

Amendamentul  194

Propunere de regulament

Articolul 83

Textul propus de Comisie

Amendamentul

Prelucrarea în scopuri de cercetare istorică, statistică și științifică

Prelucrarea în scopuri de cercetare istorică, statistică și științifică

(1) În limitele prezentului regulament, datele cu caracter personal pot fi prelucrate în scopuri de cercetare istorică, statistică sau științifică numai dacă:

(1) În conformitate cu dispozițiile prezentului regulament, datele cu caracter personal pot fi prelucrate în scopuri de cercetare istorică, statistică sau științifică numai dacă:

(a) aceste scopuri nu pot fi îndeplinite prin prelucrarea unor date care nu permit sau nu mai permit identificarea persoanelor vizate;

(a) aceste scopuri nu pot fi îndeplinite prin prelucrarea unor date care nu permit sau nu mai permit identificarea persoanelor vizate;

(b) datele care permit atribuirea de informații unei persoane vizate identificate sau identificabile sunt păstrate separat de alte informații atât timp cât aceste scopuri pot fi îndeplinite în acest mod.

(b) datele care permit atribuirea de informații unei persoane vizate identificate sau identificabile sunt păstrate separat de alte informații în conformitate cu cele mai înalte standarde tehnice și sunt luate toate măsurile necesare pentru prevenirea reidentificarea nejustificată a persoanelor vizate.

(2) Organismele care desfășoară activități de cercetare istorică, statistică sau științifică pot publica sau face publice în alt mod date cu caracter personal numai dacă:

 

(a) persoana vizată și-a dat consimțământul, sub rezerva condițiilor prevăzute la articolul 7;

 

(b) publicarea datelor cu caracter personal este necesară pentru a prezenta rezultatele cercetării sau pentru a facilita cercetarea, în măsura în care interesele sau drepturile ori libertățile fundamentale ale persoanei vizate nu prevalează asupra acestor interese sau

 

(c) persoana vizată a făcut publice datele respective.

 

(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor aplicabile în cazul prelucrării datelor cu caracter personal în scopurile menționate la alineatele (1) și (2), precum și a tuturor limitărilor necesare privind drepturile la informare și la acces ale persoanei vizate și care detaliază condițiile și garanțiile pentru drepturile persoanelor vizate în aceste circumstanțe.

 

Amendamentul  195

Propunere de regulament

Articolul 83 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 83a

 

Prelucrarea datelor cu caracter personal de către serviciile de arhivă

 

(1) Odată ce prelucrarea inițială pentru care au fost colectate a fost finalizată, datele cu caracter personal pot fi prelucrate de serviciile de arhivă care au ca sarcină principală sau obligatorie de a colecta, păstra, comunica, exploata și disemina arhivele în interesul public, în special pentru justificarea drepturilor persoanelor sau în scopuri istorice, statistice sau științifice. Aceste sarcini sunt îndeplinite în conformitate cu normele stabilite de statele membre privind accesul, comunicarea și diseminarea documentelor administrative sau de arhivă și în conformitate cu normele stabilite în prezentul regulament, în special în ceea ce privește consimțământul și dreptul la opoziție.

 

(2) Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice modificare ulterioară care le afectează.

Amendamentul  196

Propunere de regulament

Articolul 84 – alineatul 1

Textul propus de Comisie

Amendamentul

(1) În limitele prezentului regulament, statele membre pot adopta norme specifice pentru a stabili competențele de investigare ale autorităților de supraveghere, prevăzute la articolul 53 alineatul (2) în legătură cu operatori sau cu persoane împuternicite de operatori care trebuie să respecte, în temeiul dreptului intern sau al normelor stabilite de autoritățile naționale competente, obligația de a păstra secretul profesional sau alte obligații echivalente de confidențialitate, în cazul în care acest lucru este necesar și proporțional pentru a stabili un echilibru între dreptul la protecția datelor cu caracter personal și obligația păstrării confidențialității. Aceste norme se aplică doar în ceea ce privește datele cu caracter personal pe care operatorul sau persoana împuternicită de operator le-a primit sau le-a obținut în contextul unei activități care intră sub incidența acestei obligații de păstrare a confidențialității.

(1) În conformitate cu dispozițiile prezentului regulament, statele membre se asigură că există norme specifice de stabilire a competențelor de investigare ale autorităților de supraveghere, prevăzute la articolul 53 alineatul (2) în legătură cu operatori sau cu persoane împuternicite de operatori care trebuie să respecte, în temeiul dreptului intern sau al normelor stabilite de autoritățile naționale competente, obligația de a păstra secretul profesional sau alte obligații echivalente de confidențialitate, în cazul în care acest lucru este necesar și proporțional pentru a stabili un echilibru între dreptul la protecția datelor cu caracter personal și obligația păstrării confidențialității. Aceste norme se aplică doar în ceea ce privește datele cu caracter personal pe care operatorul sau persoana împuternicită de operator le-a primit sau le-a obținut în contextul unei activități care intră sub incidența acestei obligații de păstrare a confidențialității.

Amendamentul  197

Propunere de regulament

Articolul 85

Textul propus de Comisie

Amendamentul

Normele existente în domeniul protecției datelor pentru biserici și asociații religioase

Normele existente în domeniul protecției datelor pentru biserici și asociații religioase

(1) În cazul în care, într-un stat membru, bisericile și asociațiile sau comunitățile religioase aplică, la data intrării în vigoare a prezentului regulament, un set cuprinzător de norme de protecție a persoanelor fizice cu privire la prelucrarea datelor cu caracter personal, aceste norme pot continua să se aplice, cu condiția ca acestea să fie ajustate, pentru a fi conforme cu dispozițiile prezentului regulament.

(1) În cazul în care, într-un stat membru, bisericile și asociațiile sau comunitățile religioase aplică, la data intrării în vigoare a prezentului regulament, norme adecvate de protecție a persoanelor fizice cu privire la prelucrarea datelor cu caracter personal, aceste norme pot continua să se aplice, cu condiția să fie aliniate la dispozițiile prezentului regulament.

(2) Bisericile și asociațiile religioase care aplică un set cuprinzător de norme în conformitate cu alineatul (1) asigură instituirea unei autorități de supraveghere independente, în conformitate cu capitolul VI din prezentul regulament.

(2) Bisericile și asociațiile religioase care aplică norme adecvate în conformitate cu alineatul (1) obțin un aviz de conformitate în temeiul articolului 38.

Amendamentul  198

Propunere de regulament

Articolul 85 a (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 85a

 

Respectarea drepturilor fundamentale

 

Prezentul regulament nu aduce atingere obligației de a respecta drepturile fundamentale și principiile juridice fundamentale consfințite de articolul 6 din TUE.

Amendamentul  199

Propunere de regulament

Articolul 85 b (nou)

Textul propus de Comisie

Amendamentul

 

Articolul 85b

 

Formulare-tip

 

(1) Ținând seama de particularitățile și nevoile specifice pentru diferitele sectoare și situații de prelucrare a datelor, Comisia poate stabili formulare-tip pentru:

 

(a) metodele specifice de obținere a consimțământului verificabil menționat la articolul 8 alineatul (1),

 

(b) comunicarea menționată la articolul 12 alineatul (2), inclusiv în format electronic,

 

(c) furnizarea informațiilor prevăzute la articolul 14 alineatele (1)-(3),

 

(d) solicitarea și acordarea accesului la informațiile menționate la articolul 15 alineatul (1), inclusiv pentru comunicarea datelor cu caracter personal către persoana vizată,

 

(e) documentația menționată la articolul 28 alineatul (1),

 

(f) notificarea autorității de supraveghere în cazul încălcării în temeiul articolului 31 și documentația menționată la articolul 31 alineatul (4),

 

(g) consultările prealabile menționate la articolul 34 și pentru informarea autorităților de supraveghere, în conformitate cu articolul 34 alineatul (6).

 

(2) Astfel, Comisia adoptă măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii.

 

(3) Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

Amendamentul  200

Propunere de regulament

Articolul 86 – alineatul 2

Textul propus de Comisie

Amendamentul

(2) Delegarea de competențe menționată la articolul 6 alineatul (5), articolul 8 alineatul (3), articolul 9 alineatul (3), articolul 12 alineatul (5), articolul 14 alineatul (7), articolul 15 alineatul (3) Articolul 17 alineatul (9), articolul 20 alineatul (6), articolul 22 alineatul (4), articolul 23 alineatul (3), articolul 26 alineatul (5), articolul 28 alineatul (5), articolul 30 alineatul (3), articolul 31 alineatul (5), articolul 32 alineatul (5), articolul 33 alineatul (6), articolul 34 alineatul (8), articolul 35 alineatul (11), articolul 37 alineatul (2), articolul 39 alineatul (2), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 79 alineatul (6), articolul 81 alineatul (3), articolul 82 alineatul (3) și articolul 83 alineatul (3), îi este conferită Comisiei pentru o perioadă de timp nedeterminată, de la data intrării în vigoare a prezentului regulament.

(2) Se conferă Comisiei competența de a adopta actele delegate menționate la articolul 13a alineatul (5), articolul 17 alineatul (9), articolul 38 alineatul (4), articolul 39 alineatul (2), articolul 41 alineatul (3), articolul 41 alineatul (5), articolul 43 alineatul (3), articolul 79 alineatul (7), articolul 81 alineatul (3) și artico